SW Ç°Áú ¹× IT º¸¾È °ËÁõ ¼Ö·ç¼Ç Á¦°ø, ¼ºñ½º Àü¹®±â¾÷ÀÎ KMSÅ×Å©³î·ÎÁö(ÄÉÀÌ¿¥¿¡½ºÅ×Å©³î·ÎÁö, ´ëÇ¥ ÀÌâǥ)°¡ ±¹³»¿¡ °ø±ÞÇÏ´Â ½Ã³ô½Ã½º(Synopsys)»çÀÇ ¿ÀǼҽº º¸¾ÈÃë¾àÁ¡ ŽÁö ¼Ö·ç¼ÇÀÎ ºí·¢´ö(Black Duck)ÀÌ ÃÖ±Ù ¼¹ö¿¡¼ Æø ³Ð°Ô »ç¿ëÇÏ´Â ¿ÀǼҽº ·Î±ë ¶óÀ̺귯¸®ÀÎ log4j¿¡¼ Ä¡¸íÀûÀÎ º¸¾È Ãë¾àÁ¡(CVE-2021-44228)À» ÀÚµ¿À¸·Î ŽÁöÇÏ¿© ½Å¼ÓÇÏ°Ô ´ëÀÀÇϵµ·Ï Áö¿øÇÑ´Ù°í ¹àÇû´Ù.
¿ÀǼҽº Á¡°Ë ¹× °ü¸®µµ±¸ÀÎ ºí·¢´ö(Black Duck)Àº ¼ÒÇÁÆ®¿þ¾î¿¡ log4j Ãë¾àÁ¡ÀÌ Æ÷ÇԵǾú´ÂÁö ÀÚµ¿À¸·Î ŽÁöÇÑ´Ù. ¶ÇÇÑ ºí·¢´ö(Black Duck)Àº ÀÚüÀûÀÎ º¸¾ÈÃë¾àÁ¡ µ¥ÀÌÅͺ£À̽º(BDSA, Black Duck Security Advisories)¸¦ ÅëÇؼ, NVD(National Vulnerability Database)¿¡ log4j Ãë¾àÁ¡ÀÌ CVE-2021-44228·Î µî·ÏµÇ±â Àü¿¡, Ãë¾àÁ¡ Á¤º¸¸¦ Á¦°øÇÏ¿´´Ù.
À̹ø log4j Ãë¾àÁ¡ »ç·Ê¿¡ °üÇÑ ÀÚ¼¼ÇÑ ³»¿ëÀº KMSÅ×Å©³î·ÎÁöÀÇ È¨ÆäÀÌÁö(www.kmstech.co.kr) ¹× ºí·Î±×¿¡¼ È®ÀÎÀÌ °¡´ÉÇϸç, º°µµÀÇ »ó´ã ¼ºñ½ºµµ ÇÔ²² Áö¿øÇÑ´Ù.
Log4j´Â ÇÁ·Î±×·¥ ¼öÇà Áß¿¡ ·Î±×¸¦ ³²±â±â À§ÇØ »ç¿ëµÇ´Â JAVA ±â¹Ý ·Î±ë À¯Æ¿¸®Æ¼´Ù. À̹ø¿¡ ¹ß°ßµÈ Ãë¾àÁ¡Àº Log4j¿¡ Á¸ÀçÇÏ´Â JNDI(Java Naming and Directory Interface) Injection Ãë¾àÁ¡À¸·Î À̸¦ ¾Ç¿ëÇϸé, ¾Ç¼º ÄÚµåÀÇ ¿ø°Ý ½ÇÇà(RCE)ÀÌ °¡´ÉÇÏ°Ô µÈ´Ù.
ÀÌ Ãë¾àÁ¡ÀÌ ½É°¢ÇÑ ÀÌÀ¯´Â Ưº°ÇÑ Áغñ¿Í ±¸¼ºÀÌ ÇÊ¿ä ¾øÀÌ Ãë¾àÁ¡À» ¾Ç¿ëÇÒ ¼ö ÀÖÀ¸¸ç, Àü¼¼°è ¼ö¸¹Àº ¼¹ö¿¡¼ »ç¿ëµÇ´Â ´Ù¾çÇÑ ¿ÀǼҽº¿¡¼ Log4j¸¦ »ç¿ëÇÏ°í ÀÖ´Ù´Â Á¡ÀÌ´Ù.
¿ª´ë ºñµð¿À°ÔÀÓ ÆǸŷ® 1À§ÀÎ ¿Â¶óÀΰÔÀÓ ¸¶ÀÎÅ©·¡ÇÁÆ®¿¡¼ È®ÀÎµÈ °á°ú·Î´Â ƯÁ¤ äÆà ¸Þ½ÃÁö¸¦ ÀÔ·ÂÇÏ¸é ´ë»ó ÄÄÇ»ÅÍ¿¡¼ ¿ø°ÝÀ¸·Î ÇÁ·Î±×·¥À» ½ÇÇà½Ãų ¼ö ÀÖ´Â °ÍÀ¸·Î ³ªÅ¸³ª ¹®Á¦ÀÇ ½É°¢¼ºÀÌ È®ÀεǾú´Ù.
º¸¾ÈÃë¾àÁ¡ÀÇ Á¤º¸¿Í À§Ç輺 Æò°¡¸¦ Á¦°øÇÏ´Â NVD(National Vulnerability Database) ¿¡¼´Â log4j Ãë¾àÁ¡ÀÇ Á¡¼ö¸¦ °¡Àå ³ôÀº 10Á¡À» ºÎ¿©ÇÑ »óȲÀÌ°í ºü¸¥ ÆÐÄ¡¿Í ´ëÀÀÀÌ ÇÊ¿äÇÑ »óȲÀÌ´Ù.
|
