Dark background with blue code overlay
블로그

Log4j 레트로스펙티브(Retrospective) Part 4: Log4j에서 얻은 5가지 교훈

Charlie Gero

Written by

Charlie Gero

January 13, 2022

찰리 게로(Charlie Gero)는 Akamai의 엔터프라이즈 부문 부사장 겸 CTO이며, 고급 프로젝트 그룹(Advanced Projects Group)을 이끌고 있습니다. 그는 현재 보안, 응용 수학, 암호화, 분산 알고리즘 분야의 최첨단 연구에 집중하여 성장하는 Akamai의 고객 기반을 보호하는 차세대 기술을 구축하는 데 주력하고 있습니다. Akamai의 연구를 통해 그는 암호화, 압축, 고성능 네트워크 시스템, 실시간 미디어 배포 등 거의 30개의 특허를 획득했으며 물리학과 컴퓨터 과학 분야에서 학위를 취득했습니다. Akamai에서 15년 가까이 근무한 그는 스타트업을 설립하고 제약 및 네트워킹 업계의 컴퓨터 과학 부문 주요 직책을 역임했습니다.

lessons.png

Log4j 레트로스펙티브 Part 4에서핵심 요점을 강조하고 싶습니다. 이 취약점을 근절하기 위한 추적 작업을 진행하면서 더 많은 교훈을 얻을 수 있을 것입니다. 그러나, 이미 5가지 요점을 파악했습니다.

1. 새로운 기준

소프트웨어의 복잡성과 사용자가 새로운 기능을 요구하는 속도가 모두 무제한으로 빠르게 증가하고 있습니다. 필요한 기간 내에 사용자의 요구를 충족하려면 개발자는 빠르게 증가하는 가용 라이브러리, 언어 생태계, 타사 인프라, 서비스에 의존해야 합니다. 따라서 소프트웨어 기능 중 더 크고 더 많은 부분이 개발자가 직접 만지거나 완전히 이해한 적이 없는 구성 요소로 이루어집니다.

소프트웨어 종속성 그래프에서 취약점은 리프 노드나 공유 코드 및 서비스에서 루트 노드나 프로그래밍 중인 제품까지 상속됩니다. 이러한 리프 노드가 더 많이 프로젝트에 추가되고 위에 설명한 이유 때문에 취약점 위험도 증가합니다.

이 모든 것 때문에 피할 수 없는 결론에 도달합니다. 이러한 유형의 취약점은 그대로 유지될 뿐만 아니라 빈도와 영향이 계속 확대될 것입니다.

이것이 새로운 기준입니다.

2. 반복되는 리스크

직접 통제할 수 있는 시스템, 소프트웨어, 기능과 관련된 리스크를 잘못 생각하는 경우가 많습니다. 개발자에게 특정 라이브러리의 신뢰성을 검사하도록 요청하는 등의 방법으로 리스크 수준을 한 단계 낮추려는 고급 조직이 늘고 있습니다.

그러나 갈수록 많은 시스템과 소프트웨어가 타사 코드로 이루어진 레이어 위에 구성됨에 따라, 조직은 특정 라이브러리나 파트너의 리스크를 평가할 뿐만 아니라 해당 개발 커뮤니티나 벤더의 관행을 확인하여 종속성도 평가하게 해야 합니다.

종속성 트리 및 공급망의 모든 노드를 조직, 파트너 및/또는 각 개발 커뮤니티에서 평가하여 허용 가능한 위험 수준이 충족되는지 확인해야 합니다.

3. 속도 증가를 위한 가시성

위와 같이 리스크를 평가하더라도 취약점이 발생할 것입니다. 이 사실을 받아들여야 합니다. 중요하는 것은 상황을 더 효과적으로 해결할 수 방법이지 상황을 완전히 막을 수 있는 방법이 아닙니다.

이를 위해 가시성이 매우 중요합니다. 일단 많은 조직이 어떤 시스템이 영향을 받는지 모르기 때문에 패치를 적용하는 데 어려움을 겪고 있습니다. 기업은 데이터 센터와 클라우드에서 실행되는 데이터를 파악할 수 있는 시스템을 갖춰야 합니다.

가시성이 보다 포괄적이고 정확하면 조직은 더 빨리 대응하고 필요 자산에 패치를 적용할 수 있습니다.

4. 명백한 공격 제거

많은 취약점은 일련의 악용을 통해서만 공격을 받을 수 있습니다. 한 부분만 차단해도 완전한 악용을 막는 데 충분한 경우가 많습니다. 따라서 이전 공격과 명백한 공격을 모두 필터링하는 시스템이 중요합니다.

조직은 다음 시스템의 우선 순위를 정해야 합니다.

  • EPP(엔드포인트 보호 플랫폼)
알려진 악성 소프트웨어로부터 엔드포인트를 보호합니다
  • WAF(Web Application Firewall)

알려진 악성 페이로드와 위협 행위자로부터 웹 애플리케이션 보호을 보호합니다. Akamai가 제공하는 동급 최강의 Kona 보호를 추천합니다
  • DNS 방화벽

악성 도메인을 방문하는 것으로부터 엔드포인트를 보호하고 악성 DNS 페이로드를 걸러낼 수 있습니다. Akamai Enterprise Threat Protection 솔루션을 추천합니다
  • 보안 웹 게이트웨이(SWG)

인터넷에서 악성 코드를 다운로드하고 악성 사이트를 방문하는 것으로부터 엔드포인트를 보호합니다. Akamai Enterprise Threat Protection 솔루션을 추천합니다
  • MFA(Multi-Factor Authentication)

도난된 인증정보를 통해 악용 체인이 기업에 침투할 수 있는 리스크를 줄입니다. Akamai MFA를 추천합니다
  • ID 기반 분할

소프트웨어 및 시스템이 작업을 완료하는 데 필요한 컴퓨터와만 통신하도록 제한합니다. Akamai Guardicore Segmentation을 추천합니다
  • 제로 트러스트 네트워크 접속(ZTNA)

감염된 사용자가 네트워크에 유입될 때 미치는 영향을 제한합니다. Akamai Enterprise Application Access를 추천합니다

5. 최소 권한으로 보안 강화

마지막으로 조직은 최소 권한 원칙을 완전히 수용해야 합니다. 서버, 컴퓨터, 소프트웨어를 봉쇄하여 작업을 수행하는 데 필요한 시스템에만 접근을 허용해야 합니다.

예를 들어, Log4j 악용의 일부로 아웃바운드 LDAP를 호출하는 시스템 중 상당수가 LDAP를 사용할 필요가 없었습니다. 이러한 시스템에는 LDAP에 대한 방화벽 접속 권한이 있어야 합니다.  또 다른 예: 서비스가 인바운드 요청에만 응답하는 경우 아웃바운드 연결을 차단합니다.

관리 중인 모든 시스템과 소프트웨어에 최소 권한 원칙을 적용하면 취약점이 발생할 때 위협면을 크게 줄일 수 있으며, 대부분의 경우 영향을 받기 전에 공격 체인을 중지할 수 있습니다.

자세히 보기

이 시리즈를 끝까지 읽어주셔서 감사합니다. 이 블로그 시리즈가 여기서 끝나지만, 고객의 취약성에 대한 연구와 보호는 계속됩니다. 자세한 내용은 언제든지 Akamai 담당자에게 문의하시기 바랍니다 Log4j 및 기타 위협을 완화하기 위한 권장사항.

 



Charlie Gero

Written by

Charlie Gero

January 13, 2022

찰리 게로(Charlie Gero)는 Akamai의 엔터프라이즈 부문 부사장 겸 CTO이며, 고급 프로젝트 그룹(Advanced Projects Group)을 이끌고 있습니다. 그는 현재 보안, 응용 수학, 암호화, 분산 알고리즘 분야의 최첨단 연구에 집중하여 성장하는 Akamai의 고객 기반을 보호하는 차세대 기술을 구축하는 데 주력하고 있습니다. Akamai의 연구를 통해 그는 암호화, 압축, 고성능 네트워크 시스템, 실시간 미디어 배포 등 거의 30개의 특허를 획득했으며 물리학과 컴퓨터 과학 분야에서 학위를 취득했습니다. Akamai에서 15년 가까이 근무한 그는 스타트업을 설립하고 제약 및 네트워킹 업계의 컴퓨터 과학 부문 주요 직책을 역임했습니다.