쿤텍(대표 방혁준 www.coontec.kr)은 22일 발표를 통해, 자사 오픈소스 통합 관리 솔루션 ‘화이트소스(WhiteSource)’가 로그4j(Log4j) 보안 취약점에 대한 자동 탐지 및 수정사항을 제공한다고 밝혔다.

지난 12월 10일과 15일, 로그4j와 관련된 보안 취약점(CVE-2021-44228과 후속 취약점(CVE-2021-45046)이 연이어 발견됐다.

로그4j는 인터넷 서비스 운영, 유지 관리, 프로그램 작성 과정의 모든 기록을 관리하기 위해 사용되는 자바(Java) 기반의 오픈소스 로깅 유틸리티다.

‘로그4쉘(Log4shell)’이라고 불리는 해당 취약점은 악의적인 공격자가 보안 업데이트가 적용되지 않은 아파치 로그4j 버전에서 구성, 로그 메시지, 매개변수에 사용되는 JNDI(Java Naming and Directory Interface) 기능을 제어할 수 있도록 해 LDAP 및 기타 JNDI 관련 엔드포인트를 보호할 수 없게 된다.

이로 인해 공격자는 JNDI 룩업(Lookup) 패턴을 사용하여 악의적인 입력 데이터를 조작해 서비스 거부(DoS, Denial of Service)을 수행할 수 있다.

이같은 오픈소스 보안 취약점의 경우, 오픈소스와 오픈소스 사이의 종속성으로 인해 수동으로 관련 취약점을 식별하고 수정하는 것이 불가능하다.

오픈소스 통합 관리 솔루션 화이트소스(WhiteSource)는 SaaS 기반 보안 취약점 데이터베이스를 통해 자동으로 해당 취약점을 탐지하고 수정 권고 사항을 제공한다.

화이트소스는 로그4쉘 취약점이 보고되기 전에 심각도가 높은 취약점 경고에 대한 정책 설정을 마친 경우라면, 라이브러리에 대한 직간접 종속성을 통해 해당 취약점의 영향을 받는 경우에 자동으로 알람을 제공한다.

심각도가 높은 취약점에 대해 별도의 정책을 설정하지 않은 경우라면, 화이트소스 UI에서 직접 취약점 보고서를 확인해 제품 또는 프로젝트에 미치는 영향을 확인하고 완화 정책을 수행할 수 있다.

▲ 화이트소스 취약점 보고서 내 로그4j 검색 화면.(출처 : 쿤텍 제공)     ▲ 화이트소스 취약점 보고서 내 CVE-2021-44228 검색 화면.(출처 : 쿤텍 제공)

특히 이번 로그4j 취약점과 관련해 화이트소스는 깃허브(Github)를 통해 무료 도구 ‘화이트소스 로그4j 디텍트(WhiteSource Log4j Detect)’를 제공해 코드베이스의 취약점 완화를 지원한다.

이를 통해 기존의 오픈소스 프로젝트를 빠르게 스캔하여 취약한 로그4j의 버전과 경로를 식별할 수 있다.

김선태 쿤텍 부장은 “오픈소스 보안 취약점이 발견된 것은 이번이 처음이 아니다. 인기 있는 오픈소스는 다양한 제품과 분야에 광범위하게 사용되는 만큼 보안 취약점으로 인한 문제가 발생할 경우 사회적 파장이 클 수밖에 없기 때문에 체계적으로 보안을 점검하는 것이 중요하다”라고 말했다.

이어 김 부장은 “화이트소스는 SaaS 기반으로 구성된 보안 취약점 데이터베이스를 갖추고 있어 취약점이 탐지되는 즉시 자동으로 경고를 제공할 수 있기 때문에 빠르고 정확하게 보안 안정성을 강화할 수 있다”고 전했다.

<김동기 기자>kdk@bikorea.net