알리바바 클라우드는 산업정보기술부로부터 엄벌을 받았다고 답변했다.
알리바바 클라우드는 산업정보기술부로부터 엄중한 처벌을 받았다고 답했다. 이번 사건은 이를 반영한다. 컴퓨터 산업의 광범위한 인식 누락. 이번 사건이 업계에 미치는 영향은 긍정적이다. 알리바바 클라우드는 산업정보기술부로부터 엄중한 처벌을 받았다고 답했다. 알리바바 클라우드는 산업정보기술부로부터 엄중한 처벌을 받았다 1
12월 23일 저녁, 알리바바 클라우드 컴퓨팅 주식회사(이하 '알리바바 클라우드')가 12월 23일 저녁, 알리바바 클라우드 컴퓨팅에 실패했다. Apache Log4j2 구성 요소에서 심각한 보안 취약점을 발견한 후 대응하십시오. 알리바바 클라우드는 적시에 통신 당국에 보고된 사건에 대해 알리바바 클라우드가 해당 취약점의 심각성을 인식하지 못했기 때문에 취약점 정보를 신속하게 공유하지 않았다고 밝혔습니다. 초기 단계의 취약성. Alibaba Cloud는 취약성 보고서 관리를 강화하고 규정 준수 인식을 강화하며 모든 당사자와 적극적으로 협력하여 네트워크 보안 위험을 예방할 것입니다.
Alibaba Cloud는 최근 Alibaba Cloud R&D 엔지니어가 Log4j2 구성 요소에서 보안 버그를 발견하고 이를 소프트웨어 개발자인 Apache 오픈 소스 커뮤니티에 이메일로 보고했다고 밝혔습니다. 업계 관행에 따라 도움을 요청하는 질문입니다. Apache 오픈 소스 커뮤니티는 이것이 보안 취약점임을 확인하고 전 세계적으로 수정 패치를 출시했습니다. 이후 해당 취약점은 외부 세계로부터 글로벌 주요 취약점으로 확인됐다. Log4j2는 오픈 소스 커뮤니티인 Apache의 오픈 소스 로그 구성 요소로 전 세계 기업 및 조직에서 다양한 비즈니스 시스템 개발에 널리 사용됩니다.
이전에는 Alibaba Cloud가 이 문제로 벌금을 물었습니다. 12월 22일, 공업정보화부 사이버보안국은 알리바바 클라우드가 공업정보화부 사이버보안 위협 정보 공유 플랫폼의 협력 단위라고 발표했다. 최근 Alibaba Cloud는 Apache Log4j2 구성 요소에서 심각한 보안 취약점을 발견한 후 이를 통신 당국에 적시에 보고하지 못했고 산업 정보 기술부의 네트워크 보안 위협 및 취약점 관리 수행을 효과적으로 지원하지 못했습니다. 연구 결과, Alibaba Cloud는 위에서 언급한 협력 단위 자격이 6개월간 정지되었습니다. 정지 기간이 만료된 후 알리바바 클라우드는 시정 상황을 토대로 위에서 언급한 협력 단위의 복원을 연구할 예정입니다.
지난 12월 9일 산업정보부 네트워크 보안 위협 및 취약점 정보 공유 플랫폼은 관련 네트워크 보안 전문기관으로부터 아파치 Log4j2 구성요소에 심각한 보안 취약점이 있다는 신고를 접수했다. 산업정보기술부는 즉시 관련 전문 네트워크 보안 기관을 조직해 취약성 위험 분석을 실시하고 알리바바 클라우드, 네트워크 보안 기업, 전문 네트워크 보안 기관을 소집해 연구와 판단을 실시하고 아파치 소프트웨어 재단에 신속한 복구를 통보하고 촉구했다. 취약점을 발견하고 산업 단위에 위험 경고를 발령했습니다.
해당 취약점은 기기를 원격으로 제어할 수 있어 민감한 정보 도용, 기기 서비스 중단 등 심각한 피해를 초래할 수 있는 위험성이 높은 취약점입니다. 네트워크 보안 위험을 줄이기 위해 관련 부서와 대중은 Apache Log4j2 구성 요소에 대한 취약성 패치 릴리스에 세심한 주의를 기울이고 자체 관련 시스템에서 Apache Log4j2 구성 요소의 사용을 조사하며 구성 요소 버전을 업그레이드해야 함을 상기시킵니다. 적시에.
Alibaba Cloud는 중국 클라우드 시장에서 중요한 위치를 차지하고 있습니다. 앞서 Canalys는 2021년 중국 클라우드 컴퓨팅 시장에 대한 3분기 보고서를 발표했습니다. 보고서에 따르면 2021년 3분기 중국의 클라우드 컴퓨팅 시장 전체는 전년 동기 대비 43% 증가해 72억 달러에 달했다. Alibaba Cloud는 2021년 3분기에 38.3%의 점유율로 중국 본토 시장을 주도했습니다. 33.3%의 연간 매출 성장은 주로 인터넷, 금융 서비스 및 소매 산업에 의해 주도되었습니다. 알리바바 클라우드는 산업정보기술부의 엄중처벌에 대응했다 2
최근 일부 언론에서는 알리바바 클라우드가 아파치 Log4j2 구성요소에서 보안 취약점을 발견했지만 이를 통신당국에 신고하지 않았다고 보도했다. 적시에 산업정보기술부의 사이버보안 위협 및 취약성 관리 수행을 효과적으로 지원하지 못했습니다. 따라서 Alibaba Cloud는 위에서 언급한 협력 단위로서 6개월간 정지됩니다.
원래 기술계였던 것이 사회에서 화제가 됐습니다. 한동안 네티즌들은 두 동아리로 나뉘었다 -
비기술계 사람들은 “알리바바 클라우드는 기술 커뮤니티인 아파치에만 보고하고 조직에는 보고하지 않는 것 같다”고 말했다. 국가 안보를 고려하지 않습니다.
기술계는 “물론 버그를 작성한 사람은 누구에게나 아파치의 보안 취약점을 보고해야 하며 온라인에 올려서는 안 된다”고 말했다.
알리바바 클라우드는 23일 저녁 log4j2 취약점에 대한 성명을 발표하고 자신의 실수를 진심으로 인정하며 취약점 보고 관리를 강화하고 규정 준수 인식을 제고하며 모든 당사자와 적극적으로 협력하겠다고 밝혔다. 네트워크 보안을 방지합니다.
매우 기술적인 이 주제를 되돌아보면 명확히 해야 할 사실이 많습니다.
먼저 아파치 오픈소스 커뮤니티란 무엇일까요? Log4j2 구성요소란 무엇입니까?
Apache는 국제적으로 영향력이 있는 오픈 소스 커뮤니티입니다. 공식 웹사이트에 따르면 화웨이, 텐센트, 알리바바 등 중국 기업은 물론 구글, 마이크로소프트 등 미국 기업도 이 오픈소스 커뮤니티에 크게 기여하고 있다. 전 세계의 소프트웨어 엔지니어는 여기에서 몇 가지 기본 소프트웨어 구성 요소를 구축하여 서로 반복하고 회사 효율성을 향상시킵니다. 이는 소프트웨어 업계에서 독특한 현상입니다.
이번에 발견된 Log4j2 취약점은 오픈소스 커뮤니티인 아파치(Apache)의 오픈소스 로그 컴포넌트다. 많은 기업들이 이 컴포넌트를 이용해 자체 시스템을 개발하게 될 것이다. Alibaba Cloud 엔지니어는 이 구성 요소에서 문제를 발견했을 때 Apache에 이메일을 보내 커뮤니티에 이것이 취약점인지 확인하고 영향의 범위를 평가하도록 요청했습니다.
그런 다음 Apache는 이것이 취약점임을 확인하고 개발자에게 이를 패치하도록 알렸습니다. 그 결과, Tianya***가 함께 허점을 바로잡는 상황이 발생했습니다.
하지만 알리바바 클라우드는 얼마 전 출시된 공식 보고 플랫폼을 놓치고 업계 관행에 따라 이 문제를 소프트웨어 개발자 아파치 오픈소스 커뮤니티에 이메일로 보고해 도움을 요청했다.
둘째, 산업정보기술부가 알리바바 클라우드의 파트너 자격을 6개월간 정지한다는 것은 무엇을 의미하는가?
업계정보 위챗뉴스에 따르면 - "지난 12월 9일 공업정보화부의 네트워크 보안 위협 및 취약점 정보 공유 플랫폼이 관련 네트워크 보안 전문기관으로부터 신고를 받았다. 아파치 Log4j2 구성요소가 있다" 산업정보기술부는 즉시 관련 전문 네트워크 보안 조직을 조직해 취약점 위험 분석을 실시하고, 알리바바 클라우드, 네트워크 보안 기업, 전문 네트워크 보안 조직을 소집해 연구와 판단을 실시하고, 이를 통보하고 촉구했다. 아파치 소프트웨어 재단은 취약점을 신속하게 복구하고 업계 단위에 위험 경고를 제공합니다.”
언론에서 보도한 협력 단위 자격의 6개월 정지는 공개 채널에 나타나지 않았습니다. 업계 관계자들의 분석에 따르면 이는 엄밀한 의미의 '처벌'은 아니며, 그렇지 않을 경우 공고를 하지 않는 것은 불가능하다. 둘째, 네트워크 보안 위협 및 취약점 정보 공유 플랫폼은 네트워크 보안 취약점을 수집하고 보고하는 플랫폼으로, 본 플랫폼의 협력 자격 정지는 사업에 영향을 미치지 않습니다.
Log4j2 취약점에 대한 산업 정보 기술부의 위험 경고
그러나 이번 사건은 컴퓨터 업계의 일반적인 인식 부족을 반영합니다. 국내 컴퓨터 산업이 발전한 수십 년 동안 많은 직원과 조직이 오픈소스 커뮤니티와 협력하는 업무 습관을 키워왔지만, 더 높은 수준의 보안 인식과 규정 준수 인식은 이념적으로나 제도적으로 부족했습니다. Alibaba Cloud의 과소보고 행위는 이러한 인식 누락의 구체적인 표현이기도 합니다.
전반적으로 이번 사건이 업계에 미치는 영향은 긍정적이다. 알리바바 클라우드는 업계 최고의 IT 기업이기 때문에 이번 사건의 발생으로 컴퓨터 업계의 보안 준수 인식이 더욱 높아질 것으로 예상된다. 기타 많은 기술 기업은 회사 및 조직 내에서 규정 준수 교육 및 프로세스 표준을 강화할 것입니다. 알리바바 클라우드는 산업정보기술부의 엄중한 처벌에 대응했다 3
최근 산업정보부 사이버보안국은 알리바바 클라우드 컴퓨팅(Alibaba Cloud Computing Co., Ltd.)이 신속한 보고를 하지 못했다고 보고했다. Apache Log4j2 구성 요소에서 심각한 보안 취약점을 발견한 후 통신 당국에 제출한 보고서는 산업 정보 기술부의 네트워크 보안 위협 및 취약점 관리 수행을 효과적으로 지원하지 못했습니다.
보고서는 알리바바 클라우드가 산업정보기술부의 네트워크 보안 위협 정보 공유 플랫폼의 협력 단위라고 지적했다. 조사 결과 산업정보기술부 사이버보안국은 위에서 언급한 협력 단위인 알리바바 클라우드를 6개월간 정지하기로 결정했다. 정지 기간이 만료된 후 알리바바 클라우드는 시정 상황을 토대로 위에서 언급한 협력 단위의 복원을 연구할 예정입니다.
Observer.com은 며칠 전 이 사건에 대해 자세히 보고한 바 있는데, 지난 11월 24일 알리바바 클라우드가 '컴퓨터 역사상 가장 큰 취약점'이라 할 수 있는 것을 발견한 후 이를 공개하는 데 앞장섰습니다. Apache Software Foundation은 이 취약점을 발견했지만 중국 산업정보기술부에 관련 정보를 즉시 알리지 않았습니다. 이 취약점으로 인해 네트워크 공격자가 비밀번호 없이 네트워크 서버에 접근할 수 있습니다.
산업정보기술부는 Apache Log4j2 구성 요소의 주요 보안 취약점을 보고했습니다.
Apache(Apache) Log4j2 구성 요소는 오픈 소스 로깅 프레임워크입니다. Java 언어를 기반으로 하며 비즈니스 시스템 개발에 널리 사용됩니다. 최근 Alibaba Cloud Computing Co., Ltd.는 Apache Log4j2 구성 요소에서 원격 코드 실행 취약점을 발견하고 Apache Software Foundation에 해당 취약점을 알렸습니다.
해당 취약점은 기기를 원격으로 제어할 수 있어 민감한 정보 도용, 기기 서비스 중단 등 심각한 피해를 초래할 수 있는 위험성이 높은 취약점입니다. 네트워크 보안 위험을 줄이기 위해 관련 부서와 대중은 Apache Log4j2 구성 요소에 대한 취약성 패치 릴리스에 세심한 주의를 기울이고 자체 관련 시스템에서 Apache Log4j2 구성 요소의 사용을 조사하며 구성 요소 버전을 업그레이드해야 함을 상기시킵니다. 적시에.
산업정보부 사이버보안청은 네트워크 제품 보안 취약점의 위험을 예방하고 공공 인터넷 네트워크 보안을 유지하기 위해 취약점 처리 작업을 지속적으로 조직하고 수행할 예정이다.