Intro
최악의 인터넷 보안 결함 사태, Log4J 사태가 발생하였다.
CVSS(Common Vulnerabilities Scoring System) 혹은 취약점 등급 시스템은 현재 10 중 10, 가장 위험한 단계로 세계에 경고 사인을 보내고 있다.
Main
사건 배경
이번 Log4J, 다른 말로 Log4Shell 사태라 불리는 사건은 2021년 12월 9일 알리바바 보안팀에 의해 처음으로 발견되었지만, 발견 이전에 이미 12월 1일부터 해킹에 사용되고 있는 상황이다.
이 취약점은 온라인게임 '마인크래프트'에서 처음 확인됐는데, 자바 언어로 개발된 마인크래프트 버전에서 프로그래밍 코드로 이뤄진 특정 채팅 메시지를 입력하면, 대상 컴퓨터에서 원격으로 프로그램을 실행시킬 수 있는 것으로 나타났다.
해당 취약점을 이용해 공격하는 것을 제로데이 공격이라고 한다. 취약점 시스템의 결함이 발생했음을 오직 해커만 알고 있어 해당 취약점에 대한 패치가 나오지 않은 시점에서 이루어지는 공격을 말한다. 때문에 제로데이 공격을 사실을 파악함과 동시에 최대한 빠르고 신속하게 해커들의 공격에 대비해야 하며 보안 작업에 돌입해야 한다. 현재 이는 곧 서버 개발자들의 현실에 되었다.
해당 취약점은 우리가 익히 알고 있는 구글, 애플, 아마존, 테슬라, 링크드인. 마인크래프트 등 내노라 하는 대기업들 또한 피해가지 못한 상황이기 때문에 사태의 심각성을 어느 때보다 엄중히 다루고 있다.
Log4j 란?
Log4j는 Java/Kotlin/Scala/Groovy 코딩 도중에 프로그램의 로그를 기록해주는 라이브러리로, 이클립스, IntelliJ IDEA, 안드로이드 스튜디오 등에 추가해서 프로그램 실행 시 자동으로 지정한 경로에 로그를 저장해주는 기능이다. 각종 웹사이트나 홈페이지 등의 안전한 운영과 관리를 목적으로 사용하는 프로그램으로 아파치 재단이 사이버공격에 대비해 개발한 것인데, 해당 기능은 Java를 사용하는 기업이라면 대부분이 사용할 정도로 활용도가 보편적인 라이브러리이다.
그렇다면, Log4Shell은 무엇인가?
Log4Shell이란 제로데이 'RCE'취약점이다. 여기에서 'RCE'는 'Remote Code Execution'의 약자로, 원격코드 실행을 의미한다. 즉, 해커는 원격으로 유저 서버에 접근하여 악성코드를 심거나 하는 등의 공격이 가능하다는 것이다.
Review
"never trust user input"에 관한 정보를 접한 적이 있는데 유지보수를 위한 일부 느슨한 입력검사 명령어가 큰 사건으로 굴러온 것 같다. 해당 사건은 개발팀에 계시는 모든 개발자들에게 엄청난 업무와 부담감으로 다가올 것이라는 우려가 가장 많이 크다. 실제로 현업에 계시는 지인 서버 개발자 분이 엄청 힘들어 하신다고 했는데 이 사태가 별 탈 없이 잘 마무리 되었으면 좋겠다.
"오늘도 도움주신 개발자분들, 감사드립니다. 항상 배워갑니다"
