한 달 전에 시작했어요. 당시 아리운팀의 한 멤버는 Apache)Log4j2 구성 요소의 심각한 보안 취약점을 발견하고 미국의 Apache 소프트웨어 재단에 즉시 통보했지만 필요에 따라 중국 공신부에 통보하지 않았다. 사건 발생 반 개월 후, 중국 공신부는 사이버 보안 전문 기관의 보고서를 받고서야 아파치 구성 요소에 심각한 보안 취약점이 있음을 발견했다.
아파치 구성 요소의 결함은 무엇입니까? 아리운이 제때에 보고하지 않으면 어떻게 될까? 국내 기업이 보안 허점을 발견한 뒤 어떤 절차를 밟아야 하는가? 관찰자 네트워크는 이러한 문제를 가지고 일부 업계 인사들을 인터뷰했다.
허점은행 공동 창업자 겸 CTO 장학송은' 관찰보' 에 Log4j2 구성 요소가 광범위하게 적용돼 허점의 위험이 각 분야로 빠르게 확산될 수 있다고 지적했다. 아리운은 국내 주관부에 관련 허점을 제때 보고하지 못해 국내 관련 기관이 수동적인 위치에 있게 됐다.
Log4j2 구성 요소가 컴퓨터 네트워크 분야에서 중요한 역할을 하는 것에 대해 해외 누리꾼들은 만화 형식으로 이미지 해석을 했다. 이 그림에 따르면 Log4j2 구성 요소에 대한 지원이 없으면 모든 현대 디지털 인프라가 붕괴될 위험이 있습니다.
외국 소셜미디어 사용자들은 Log4j2 의 중요성을 만화 형식으로 설명했다.
관찰자의 타임라인. Com 은이 심각한 아파치 보안 취약점을 다음과 같이 정리합니다.
공개 자료에 따르면 이번 보안팀이 아리운에서 발견한 Apache Log4j2 는 Java 시스템의 로그 정보 생성, 인쇄 출력 및 형식 구성을 제어하는 오픈 소스 Java 로그 도구입니다. 이 구성 요소는 많은 비즈니스 프레임워크에서 사용되므로 다양한 어플리케이션 및 네트워크 서비스에 널리 사용됩니다.
한 고위 업계 관계자는 관찰자에게 Log4j2 구성 요소의 보안 취약점이 크게 두 가지 영향을 미친다고 말했다. 하나는 Log4j2 자체가 클래스 Java 시스템에서 널리 사용되고 있으며, spring MVC 에서는 거의 전 세계적으로 사용되고 있다는 것이다. 둘째, 허점 세부 사항이 공개돼 이용 조건이 매우 낮아 기술 문턱이 거의 없다. 적용범위가 넓어 허점을 이용하는 난이도가 낮아 영향이 즉시 각 업종으로 확산되고 있다.
간단히 말해서, 이 취약점을 통해 네트워크 공격자는 암호 없이 네트워크 서버에 액세스할 수 있습니다.
이것은 유언비어를 퍼뜨리는 것이 아니다. American Communications 등 외신들은 이 허점이 최근 몇 년 동안 발견된 가장 심각한 컴퓨터 허점일 수 있다고 댓글을 달았다. Log4j2 는 업계 및 정부 전체에서 사용되는 클라우드 서버 및 엔터프라이즈 소프트웨어 전반에 걸쳐 "유비쿼터스" 입니다. 범죄자, 스파이, 심지어 프로그래밍 초보자도 이 허점을 이용해 인트라넷에 들어가 정보를 훔치고 맬웨어를 이식하고 중요한 정보를 쉽게 삭제할 수 있다.
아리운 공식 홈페이지 스크린 샷
그러나 아리운은 이' 10 년 만에 가장 크고 가장 중요한 단일 허점' 을 발견한 뒤' 사이버 제품 보안 취약성 관리 규정' 제 7 조의 요구 사항에 따라 이틀 만에 공신부 네트워크 보안 위협 및 취약성 정보 공유 플랫폼에 정보를 제출하지 않고 아파치 소프트웨어 재단에 관련 정보를 통보했다.
관찰자망 공개자료에 따르면 Apache 는 1999 에 미국에 설립되어 오픈 소스 소프트웨어 프로젝트를 전담하는 비영리 조직이다. 지원하는 Apache 프로젝트와 서브 프로젝트에서 배포된 소프트웨어 제품은 모두 Apache 라이센스를 따릅니다.
65438+2 월 10, Apache 소프트웨어 재단에서 아리운의 취약점이 있다는 것을 알게 된 지 반 개월 이상 지난 후, 중국 국가 정보 보안 취약점 * * * 공유 플랫폼은 관련 정보를 입수하고 Apache Log4j2 원격 코드 실행 취약점 보안 공고를 발표했습니다. Apache 는 공식적으로 패치 수정을 발표했습니다.
중국 국가 정보 보안 취약점 * * * 플랫폼 홈페이지 스크린샷을 즐기다.
사실, 중국에서 사이버 허점을 신고하는 명확한 절차가 있다. 업계 관계자는 Observer.com 기자에게 업계에서 흔히 볼 수 있는 허점 에스컬레이션 절차는 회원단위 >: 공신부 사이버 안전관리국 > 국가정보안전허점 * * * 공유 플랫폼 (CNVD) CVE 중국 정보안전평가센터 > 국가정보안전허점데이터베이스 (CNNVD) > 라고 말했다. 을 눌러 섹션을 인쇄할 수도 있습니다 비회원 단위 또는 개인 등록은 CNVD 또는 CNNVD 를 제출합니다.
공개 자료에 따르면 CVE (common vulnerability * * * enjoy disclosure) 는 기업 복구 및 보안 문제 해결을 조율하기 위한 글로벌 비영리 단체입니다. 이 허점의 기술위원회는 초기에 미국에서 시작되었기 때문에, 조직관리기구는 주로 미국에 있다. CNVD 는 국내 주요 정보 시스템 단위, 기본 통신 사업자, 네트워크 보안 업체, 소프트웨어 업체, 인터넷 회사가 구축한 정보 보안 취약성 정보를 지식 기반에서 공유하는 국내 정보 보안 취약성 공유 플랫폼입니다.
이 같은 업계 인사들은 이 허점의 영향이 크기 때문에 알리가 전형적인 통보로 간주된다고 보고 있다. CNVD 가 설립되기 전과 최근 몇 년 동안 국내 보안요원들은 CVE 에 대한 인식, 인정 및 보급도가 높았다. 보안 연구원들이 허점을 발견하면 CVE 에 제출한다. 최근 2 년 동안 중국이 CNVD 를 설립했지만 인지도가 부족하다. 알리 보안 연구원이 허점을 제출했을 때 개인 기술 성과로 보고 국제기구에 보고하여 수리를 조율한 것으로 추정된다.
하지만 최근' 사이버 제품 보안 취약점 관리 규정' 에 따르면 국내 안전연구원들이 허점을 발견한 뒤 CNVD 에 제출할 수 있다. CNVD 는 CVE 에 제출 프로세스를 시작하여 공급업체와 기업을 조율하여 보안 취약점을 복구하고 해외 취약성 플랫폼에 직접 제출할 수 없습니다.
아리운의 행위가 공업과 정보화부의 사이버 보안 위협과 허점 관리를 효과적으로 지지하지 못했기 때문에 공신부의 최근 통보에 따르면 공신부 사이버 안전관리국은 연구를 거쳐 아리운을 6 개월간 유예하기로 했다. 일시 중지 만료 후 아리운내 정류 상황에 따라 이 같은 협력단위가 재개된다.
업계 인사들이 관찰자에게 지적했다. Com 은 공신부가 이번에 알리를 겨냥한 것은 사실상 국내 사이버 안전업계의 종사자들에게 경고하고 있다고 생각한다. 결과적으로 알리에 대한 처벌은 가볍다. 첫째, 그는 회원 부서를 발로 차지 않고 단지 6 개월 동안 휴직했을 뿐이다. 둘째, 공신부는 이번 사건의 안전연구원에 대해 개인행정처벌이나 경고를 하지 않고 국외 CVE 에 직접 Log4j 허점을 제출한 안전전문가를 비판했을 뿐이다.
이 글은' 관찰가' 의 독점 원고이다. 허가 없이 전재할 수 없다.