역사상 최악이라 불리는 Log4shell(로그4j 취약점)에 대한 뚜렷한 대응책이 보이지 않아 전 세계적으로 민관의 보안 전문가들이 비상근무에 돌입한 가운데, 에버스핀이 자사의 웹 보안 솔루션 ‘에버세이프WEB’이 이에 대한 해결책을 제시할 수 있다고 밝혔다.

Log4shell은 로그4j라는 자바 애플리케이션 내 로깅 도구에서 나타나는 취약점으로, 사용자 요청의 모든 데이터(URL, Query, Header, Body) 등이 log.info와 같은 로깅 함수 인자로 사용되는 경우라면 해커들이 비밀번호 없이도 내부망에 접근해 데이터를 유출하고 악성프로그램을 실행시킬 수 있어 매우 위험하다.

현재까지 업계에서 급히 마련한 대응 방법으로는 Log4j 업데이트, Log4j JndiLookup Class를 classpath에서 제거, Log4j Lookup : false 설정 등이 있다.

이 세 가지의 방법으로는 추후에 Log4j 취약점의 변종과 비슷한 부류의 취약점에 대한 근본적인 대책이 될 수 없다. 따라서 빠르게 대응할 수 있는 방법으로 웹 방화벽에 Log4j 공격 패턴 룰을 추가하는 방법을 선호한다.

그러나 보안 전문가들에 의하면, 웹 방화벽은 암호화되어 있는 데이터에 대해서는 검증을 하지 못하는 한계가 있어 실제 해커의 공격에 효율적인 대응책이 될 수 없다.

앞서 피해사례에서도 알 수 있듯이 암호화된 데이터는 복호화 과정을 거친 평문 데이터에 대해서 공격 패턴을 검증해야 하지만 웹 방화벽은 이를 수행할 수 없다. 그러나 에버세이프WEB이 제시하는 Java Servlet Filter를 이용한 방법이라면 가능하게 된다.

에버세이프WEB은 웹상에서 해커의 공격을 방어하기 위해 해커의 분석과 변조를 방지하는데 초점을 둔 차세대 웹 보안 솔루션이다.

에버스핀의 웹보안솔루션팀 정대석 팀장은 ”에버세이프WEB은 올해 첫 출시 후 키움증권, 우리카드 등 주요 금융사에 도입됐다. 다양한 오픈 소스의 위협에 대응 가능한 Java Servlet Filter를 제공하고 있어, 최우선적으로 기존 고객사에 해당 해결책을 적용할 예정이다“라며 덧붙여 “에버세이프WEB에 대한 관심을 두고 협의 중인 다양한 고객에게 Log4j뿐만 아니라, 향후 발생할 다양한 오픈 소스의 위협으로부터 선제 대응을 제공하고자 박차를 가할 것이다”라고 말했다.

★정보보안 대표 미디어 데일리시큐!★