쿤텍, 로그4j(Log4j) 취약점 자동 탐지 및 수정사항 제공

2021-12-22 09:52
편집부 press@bodnara.co.kr

오픈소스 관리 전문 기업 쿤텍 주식회사는 오픈소스 통합 관리 솔루션인 화이트소스(WhiteSource)으로 로그4j(Log4j) 보안 취약점에 대한 자동 탐지 및 수정사항을 제공한다고 밝혔다.

지난 12월 10일과 15일, 로그4j와 관련된 보안 취약점(CVE-2021-44228과 후속 취약점(CVE-2021-45046)이 연이어 발견되었다. 로그4j는 인터넷 서비스 운영, 유지 관리, 프로그램 작성 과정의 모든 기록을 관리하기 위해 사용되는 자바(Java) 기반의 오픈소스 로깅 유틸리티다.

로그4쉘(Log4shell)이라고 불리는 해당 취약점은 악의적인 공격자가 보안 업데이트가 적용되지 않은 아파치 로그4j 버전에서 구성, 로그 메시지, 매개변수에 사용되는 JNDI(Java Naming and Directory Interface) 기능을 제어할 수 있도록 하여 LDAP 및 기타 JNDI 관련 엔드포인트를 보호할 수 없게 된다. 이로 인해 공격자는 JNDI 룩업(Lookup) 패턴을 사용하여 악의적인 입력 데이터를 조작하여 서비스 거부(DoS, Denial of Service)을 수행할 수 있다. 이와 같은 오픈소스 보안 취약점의 경우 오픈소스와 오픈소스 사이의 종속성으로 인하여 수동으로 관련 취약점을 식별하고 수정하는 것이 불가능하다.

오픈소스 통합 관리 솔루션인 화이트소스(WhiteSource)는 SaaS 기반 보안 취약점 데이터베이스를 통해 자동으로 해당 취약점을 탐지하고 수정 권고 사항을 제공한다. 화이트소스는 로그4쉘 취약점이 보고되기 전에 심각도가 높은 취약점 경고에 대한 정책 설정을 마친 경우라면, 라이브러리에 대한 직간접 종속성을 통해 해당 취약점의 영향을 받는 경우에 자동으로 알람을 제공한다. 심각도가 높은 취약점에 대해 별도의 정책을 설정하지 않은 경우라면, 화이트소스 UI에서 직접 취약점 보고서를 확인하여 제품 또는 프로젝트에 미치는 영향을 확인하고 완화 정책을 수행할 수 있다.

특히 이번 로그4j 취약점과 관련하여 화이트소스는 깃허브(Github)를 통해 무료 도구인 화이트소스 로그4j 디텍트(WhiteSource Log4j Detect)를 제공하여 코드베이스의 취약점 완화를 지원한다. 이를 통해 기존의 오픈소스 프로젝트를 빠르게 스캔하여 취약한 로그4j의 버전과 경로를 식별할 수 있다.

닉네임

비회원

보드나라 많이 본 뉴스

하드디스크 가격 급등, 공급 부족 심화 우려

삼성전자, 개인 소비자용 SSD 시장 철수설 부인

2026년 상반기, 엔비디아 지포스 RTX 50 시리즈 GPU 공급 축소?

보드나라 많이 본 기사

17년만에 등장한 후속작 아이온2, GAINWARD 지포스 RTX 5060 고스트 성능은?

AI 수요가 늘면 왜 DDR5 값이 오를까?, [메모리 가격 폭등 1부]

ipTIME 공유기와 어울리는 2베이 NAS, ipTIME NAS2plus

보드나라 최신 기사

[12/22] 위니코니, 공기주입 맞춤 조절 ‘욕창 예방 매트리스’ 개발

[12/22] 넥슨재단, BIKO-대구광역시교육청과 컴퓨팅 사고력 및 정보교육 강화 위한 업무협약(MOU) 체결

[12/22] 콕스, 편안함과 실용성을 갖춘 사무용 무선 마우스 'CEM30' 출시

[12/22] 넥슨, 인기 게임 17종 크리스마스 이벤트 진행!

[12/22] 서린씨앤아이, CableMod Pro Coiled 항공 키보드 케이블 47% 할인 특가 기획전 진행

[12/22] 마이크로닉스, WIZMAX 루프탑 구매 시 인피니티 팬 3종 제공

[12/22] 넥슨, ‘마비노기 영웅전’ 대규모 겨울 업데이트 ‘모멘텀’ 실시

[12/22] 미디어웹, 배틀그라운드와 함께 피카PC방 단독 피피배 리그전 개최

[12/22] 성능과 가격의 합리적 조화,기가바이트 지포스 RTX 5060 Ti Windforce Max OC 8GB 제이씨현

[12/22] 지클릭커, 손이 더욱 편해진 에르고M EMK100 PLUS 인체공학 무선 키보드 마우스 세트 출시

[12/22] 마우저 일렉트로닉스, 에너지 효율적 설계를 위한 전원관리 리소스 센터 공개

[12/22] 크래프톤, ‘딩컴(Dinkum)’ Steam 겨울 할인 프로모션 참여

[12/22] ams OSRAM과 줌토벨 그룹, LED용 플라스틱 릴을 대체할 종이 릴 공동 개발

[12/22] 다트머스, AWS 앤트로픽과 협력해 아이비리그 최초 기관 차원 AI 도입

[12/22] 포켓몬코리아, 자체 제작 신규 유튜브 콘텐츠 ‘레츠 포켓몬 다이어리’ 오는 24일 첫 공개!

[12/22] 넷마블 인기 게임 13종, 풍성한 크리스마스 기념 이벤트 진행

[12/22] 2025 LCK 어워드 '비디디' 곽보성, 데뷔 첫 '올해의 선수' 수상

[12/22] ‘젠레스 존 제로’, 2.5버전 ‘밤을 비추는 불씨가 되어’ 업데이트!

[12/22] 덕코프(Escape From Duckov) 악성 모드 제제

[12/22] FSR4 전용이란 AMD FSR4 레드스톤, RDNA3 그래픽서 구동 모드 등장

로그인 | 이 페이지의 PC버전