로그프레소, 로그4셸 취약점 대응 스캐너 배포

[정보통신신문=박광하기자]

로그프레소(대표 양봉열)는 전 세계에서 널리 쓰이는 오픈소스 소프트웨어(SW)인 '아파치 로그4j 2(Apache Log4j 2)'의 보안 취약점 대응을 위한 스캐너를 배포한다고 최근 밝혔다.

'로그4셸'로 이름 붙은 아파치 로그4j 2 취약점은 전세계의 거의 모든 자바 기반 서버가 사용하는 오픈소스 로깅 라이브러리 'log4j'에서 발견됐다. 이 취약점은 인기 온라인 게임인 '마인크래프트'에서 처음 발견됐다.

로그4셸 취약점 공격이 성공하면 비밀번호 없이 서버 내부망의 데이터에 접근하거나 악성 프로그램을 설치하는 등 모든 권한을 취득할 수 있다.

최근 몇년간 발견된 가장 최악의 컴퓨터 취약점으로, 오픈소스 프로젝트를 지원하는 비영리 단체인 아파치소프트웨어재단은 로그4셸 취약점의 보안 위협 수준을 1~10단계 중 최고 단계인 10단계로 평가했다는 게 로그프레소의 설명이다.

이에 로그프레소는 로그4셸 취약점 대응을 위한 스캐너를 긴급 배포에 나섰다.

스캐너를 이용하면 현재 운영중인 시스템에 해당 취약점이 존재하는지 확인할 수 있으며 현재 한국인터넷진흥원(KISA)의 보안권고문에서 제시한 'JndiLookup.class' 제거를 통한 임시 패치까지 적용할 수 있다.

양봉열 로그프레소 대표는 "취약점을 악용한 도구가 이미 개발된 상태"라며 "신속히 보안 패치를 적용하지 않을 경우 해킹 위협에 노출될 가능성이 크다"고 전했다.

로그프레소가 배포하는 스캐너 최신 버전은 깃허브에서 다운로드할 수 있다.