거의 모든 인터넷 서버에서 사용하는 것으로 알려진 자바 기반 오픈소스 로깅 라이브러리 '로그4j'에서 지난 10일 보안 취약점 '로그4쉘'이 발견돼 대규모 사이버공격 피해 가능성에 전세계가 주목하고 있다.
이런 가운데 취약점에 영향을 받는 로그4j 2 버전뿐만 아니라, 버전 1에도 영향을 끼치는 신규 취약점이 발견됐다.
로그4j를 개발한 아파치 재단은 이에 대응해 신규 보안 업데이트를 반영한 2.16.0, 2.12.2 버전을 15일 배포했다. 각각 자바8, 자바7 사용자를 대상으로 한다.
이날 한국인터넷진흥원(KISA)은 '보호나라' 사이트에 등록된 로그4j 신규 취약점 관련 보안 공지와 대응 가이드를 갱신하면서 신규 취약점에 대해 안내했다.
로그4쉘을 칭하는 공통보안취약점공개항목(CVE) 번호는 'CVE-2021-44228'로, 로그4j 2.0 베타 9 버전부터 2.14.1 버전까지 유효하다.
새로 발견된 취약점인 'CVE-2021-45046'은 2.0 베타 9~2.12.1 버전과 2.13.0~2.15.0 버전에서 유효하다.
'CVE-2021-4104'는 1.2 버전에서 유효하다. 다만 관련API인 'JMS어펜더'를 사용하지 않는 경우 취약점 영향을 받지 않는다.
버전 업데이트를 실시할 수 없는 경우 임시 조치로 JndiLookup 클래스를 경로에서 제거하라고 조언했다.
관련기사
- "모든 인터넷 서버 위험"…로그4j 취약점에 보안업계 비상2021.12.12
- '로그4j' 허점 비상…열흘전 공격 시도 있었다2021.12.13
- 거의 모든 서버 위협하는 최악의 '로그4j' 보안허점 발견2021.12.11
- '로그4j' 취약점 공격 급증세...국내 기업 40%도 영향2021.12.15
특히 로그4j 버전 1을 사용하는 경우 보안 업데이트가 종료된 만큼, 최신 버전으로의 업데이트를 권장했다.
KISA에 따르면 15일 16시 기준 국내에서 로그4j 취약점 공격 피해 사례는 아직 접수되지 않았다.
