본문 바로가기

컴터생각

인터넷 세상, 인터넷에 접속된 모든 기기는 해킹 당할 수 있다 (feat log4j 보안취약점)

 

역대 최악의 취약점으로 IT 업계 종사자들에게 악몽의 연말연시를 선사하고 있습니다.
취약점에 노출된 서버들을 운영하는 분들은 정말 최악의 시간을 보내고 있습니다. 엄청 급하게 패치를 했는데, 몇일 있다 취약점이 또 발견되고, 또 패치 했는데, 취약점이 또 발견되고. 아, 언제 끝나냐고 ㅠㅠ

패치 한번 하기도 악몽인데, 계속 반복해야 하니 몇주째 거의 죽을 맛일 겁니다.

 

 

도대체 무슨 일이 일어나고 있는건가?

패치가 뭐야?
버그나 보안취약점을 수정한 버전을 반영하는 작업을 말합니다.

왜 패치가 어려운데?
log4j의 경우 사용하는 시스템이 너무 너무 많기 때문에 다 찾아서 패치를 적용하는게 쉽지 않은 일 입니다.

log4j가 뭔데 그렇게 많이 사용해?
서버에서 무슨 일이 일어나고 있는지 기록을 남기는데 사용되는 오픈소스 프로그램입니다. 모든 서버들은 정상적인 동작을 하고 있는지, 이상이 있다면 무슨 일이 일어났는지 추적을 하기 위해 텍스트 파일로 기록을 남깁니다.
여기에 사용되는 프로그램이 여러가지가 있는데, java로 프로그래밍 할 때 가장 많이 사용하는 오픈소스 로그 라이브러리가 log4j 입니다.
수십, 수백개의 시스템이 운영되는 큰 조직이라면 java로 개발된 시스템들이 많이 있을건데, 자바로 개발된 시스템은 로그를 남기기 위해 log4j를 사용할 가능성이 매우 높습니다.

이렇게 많이 사용하는 프로그램에 취약점이 있는데, 그 취약점이 엄청나고 시급히 처리해야 하는 위험도 최상위 취약점이라 난리가 난 겁니다.

내 개인정보 다 털리는거 아닌가?
여기까지 가면 세상 걱정 모두 안고 살아야 하니, 이런건 전문가들에게 맡깁시다. 그런 일 발생하지 않도록 요즘 몇주째 다들 난리일 겁니다.

보안취약점 위험도를 평가하는 지수가 10점이 최고인데, 이 취약점이 10점짜리라
아주 시급하게 패치를 해야하는 상황이고, IT부서 인력들이 이것 때문에 완전 정신 없다. 이런 상황입니다.

 

 

log4j 오픈소스 개발자들의 책임인가?

https://twitter.com/javarevisited/status/1470329761012482049

네, 무슨 말인지 모르겠지요. 저도 알고 싶지 않습니다. 개발자라고 이걸 다 알아야 할 필요는 없습니다. 저도 알고 싶지 않고 그냥 안전한 서버에서 내가 원하는 기능을 만드는데 집중하고 싶습니다.

버그는 몇달전에 발견되어 수정이 되었는데, 알고보니 아주 심각한 영향도를 가지고 있어서 뒤늦게 난리가 난 겁니다.
빨리 패치하지 않으면 바로 해커들에게 먹잇감이 될만한 중대한 결함이었습니다.

하지만, 버그가 만들어진 것은 몇년전이고 이제서야 발견된 겁니다. 뛰어난 해커는 이미 이 버그로 수년간 꿀 빨고 있었을지도 모릅니다.

업친데 덥친 격으로 수정을 했는데, 다른 취약점이 또 발견되고, 수정했는데 또 발견되기를 계속 반복하고 있습니다.
일이 커지니 전세계 모든 보안 전문가들이 주목을 하기 시작했고, 자세히 들여다 보자 그동안 발견하지 못한 혹은 이번 수정에서 미흡한 부분을 계속 발견해 내고 있기 때문입니다.

 

 

그럼 오픈소스를 사용하면 안되나?

그럼 이게 다 오픈소스 개발자들의 책임이고 오픈소스는 사용하면 안될까요?
그렇지 않습니다.

오픈소스는 대부분 자원봉사로 진행되기 때문에 책임이 없습니다.
돈 많이 버는 기업들이 더 많이 후원을 해야 하는데, 실상은 돈이 될 것 같은 오픈소스만 후원을 받는 자본주의 논리가 여기서도 적용됩니다. log4j 같은 경우도 애플, 마이크로소프트, 아마존 등 거대 기업들에서도 많이 사용하지만 후원은 없을 겁니다. 이번 기회에 여러기업들에서 많이 사용되는 오픈소스에 더 많은 후원이 생겨나길 바랍니다.

그럼, 책임도 안지는 오픈소스를 사용하지 않아야 할까요?
그렇지 않습니다. 소스가 공개되어 있기 때문에 이런 취약점을 더 빨리 발견하고 고칠 수 있습니다. 거대 기업들이 인하우스로 개발한 소프트웨어라고 해서 오픈소스 보다 안전하지 않습니다. 더 많은 사람들이 살펴봐야 더 안전해집니다.
대형 기업들이 버그바운티 (버그를 발견해 제보하면 포상) 프로그램을 상시로 운영하고, 정기적으로 자사 시스템을 해킹하도록 하는 해킹대회를 여는 이유가 다 그런 이유입니다. 어마어마한 비용을 들여 보안팀을 운영해도 못 찾아내는 버그들과 취약점이 있습니다.

악용하려는 사람들 보다 먼저 찾아내는 다양한 방법을 강구중인데는 다 이유가 있습니다.
보다 많은 사람들이 관심을 가지는 것이 보다 안전합니다. 오픈소스는 소스코드를 모두 공개함으로써 누구나 버그를 찾을 수 있습니다. 집단지성의 힘으로, 그리고 선한 사람이 더 많은 잇점으로 보다 안전해 지는 것 입니다.

 

 

서버만 이렇게 취약할까? 설마요, 우리 환경은 온 사방이 취약점

소프트웨어 만드는 사람들도 엄청 노력 합니다. - https://youtu.be/F5KJVuii0Yw

그리고 log4j 보안취약점 때문에 모든 기기가 다 해킹 당할 것이라는 이야기도 아닙니다.
log4j는 서버에서 주로 사용되는 소프트웨어니까요.

하지만, 모든 프로그램에는 버그가 있다는 겁니다. 개발팀에서 부단한 노력을 하지만, 모든 사람은 실수를 할 수 있습니다.

보안에 자신 있다고 큰소리 치는 애플의 아이폰도 해킹되는 새상이고, 와이파이 공유기 해킹, NAS 장비 해킹, 스마트홈 기기도 해킹을 당하고 있습니다. - https://www.wikitree.co.kr/articles/706971

 

아파트 내부 일반인 알몸·성생활이 적나라하게… 전국 아파트 수백곳 CCTV 털렸다

서울서 제주까지 전국 아파트 영상 유출돼

www.wikitree.co.kr

 

불안하니 스마트폰도 사용하지 말고, 노트북도 사용하지 말고, 스마트홈이 제공되는 아파트로는 이사를 가지 말아야 할까요?


걱정을 한다고 걱정이 없어지면 걱정이 없겠죠.
내가 할 수 있는것만 하면 됩니다. 내가 할 수 없는 것까지 다 걱정하면 삶이 너무 피곤해집니다.

와이파이 장비설치, NAS 장비 설치, 스마트홈 장비 설치는 전문가에게 맡기면 됩니다. 그 설치하러 온 사람이 나쁜놈이라 우리 집을 해킹하려고 하면 어떻게 하나 걱정하기 시작하면 경비아저씨가 우리집 털러 오면 어쩌나 걱정하는 것이나 같습니다.

아래 내용들 지키는 것만 해도 잘 하는 겁니다.
쉽지 않지만, 이제는 이 정도는 신경쓰고 살아야 하는 세상이 되었습니다.

사실 나를 지목해 해킹하는건 해커 입장에서 가성비가 안 나오기 때문에 그럴리는 없다고 보면 되니 속편히 사는 것도 방법이긴 합니다. 그래도 어쩌다 걸렸는데, 어 이거 너무 쉽게 뚫리잖아 이러진 말아아죠.

하루에 하나씩, 조금씩 나아지기만 해도 좋습니다. 한걸음씩 스마트폰 보안수칙!!

 

 

 

 

페이스북이 내 생각을 조종한다면? - 감시 당하는 것 보다 더 무서워

페이스북 내부고발로 미국이 난리가 났습니다. 페이스북은 이제 그냥 SNS가 아닙니다. 10대들이 많이 이탈하고, 사용자가 많이 줄었다고는 하지만 여전히 많은 사람들이 이용중이며, 그 영향

madchick.tistory.com

 

페이스북 스마트 글래스 - 내가 보는 것을 기록으로 남길 수 있다면, 사생활 침해의 경계

저는 내가 보는 것을 모두 기록으로 남기고 싶습니다. 운전을 하면 블랙박스가 이런 제 희망을 그나마 가장 근접하게 촬영을 해주는데, 말 그대로 가장 근접하게 입니다. 내 시선대

madchick.tistory.com

 

세상에 안전한 스마트폰, PC, 노트북은 없다 - 높아지는 해킹 불안감

결론부터 말하자면, 세상에 안전한 스마트폰, PC, 노트북은 없습니다. 내꺼라고 특별하지 않습니다. 다 해킹 당할 수 있습니다. 그간 해킹 당하지 않았던 것은 해킹 당했는데도 

madchick.tistory.com

728x90