E-GENE 솔루션 제품의 구성을 확인해보면 여타 다른 웹 소프트웨어도 유사하겠지만, 다양한 서버 라이브러리와 화면을 책임지고 지원할 프론트 라이브러리 등 기능에 필요한 다양한 라이브러리를 조합하여 하나의 제품으로 구성되어 있다. 그 기반 위에서 웹 소스, 자바 스크립트, 데이터베이스 등이 조화를 이루어 최종 사용할 수 있는 솔루션을 만들어 내고 있다.
제품의 개발단계에 수많은 검증을 통해 안정된 제품을 만들어내고, 대중적인 보안이슈에 대응하기 위해 보안 위험요소를 분석하여 이에 대응할 수 있는 제품으로 지속적 업데이트를 수행하고 있다.
허나 끊이없이 발생하고 있는 이슈가 보안취약점 이슈이고, 제품의 취약점을 파고들어 상당한 피해를 발생시키고 있다.
본 기고에서는 보안이슈가 발생하는 두가지 카테고리 유형에서 내용을 풀어보고 최근 이슈가 되고있는 로그4j 취약점에 대해서도 다루어보고자 한다.


보안 이슈가 크게 발생하는 두가지 유형으로 아래 유형을 이야기 할 수 있다.
- 의존관계의 라이브러리에서 발생하는 보안 이슈
- 개발 과정에서 발생 가능한 보안 이슈

의존관계에 라이브러리에서 발생하는 경우가 최근 발생한 로그4j 취약점이 대표적인 예로 들 수 있다. 로그4j의 경우 아파치 SW재단에서 관리하는 프로젝트이기 때문에 신뢰성이 높고, 많은 라이브러리에서 사용하며 대표적으로 스프링 프레임워크에서도 사용되기 때문에 의존성이 높은 라이브러리 중 하나이다.

그림 1 로그 4j를 관련 종속성 그래프

구글 오픈 소스 Open Source Insights 팀(James Wetter, Nicky Ringland)에서 메이븐 센트럴(Maven Central)에서 사용 가능한 자바 아티팩트 중 3만5천863개가 로그4j 코드에 의존하는 것을 발견했다고 발표하였으며, 로그 4j를 사용한 아티팩트의 종속성을 분석한 결과 80% 이상이 의존관계 아티팩트에서 발생하였다. (https://security.googleblog.com/2021/12/understanding-impact-of-apache-log4j.html)

로그4j의 취약점이 발표된 시점에서 자바를 이용한 웹 서비스 시스템들은 취약점이 발생한 라이브러리 사용 여부 및 영향도 분석을 하기 위한 다양한 방법과 가용 가능한 인력을 모두 동원하여 확인하고 있으며, 솔루션 제작사들도 대응에 정신이 없는 상태이다. 그나마 제품으로 들어온 경우에는 빠른 대응이 되지만, SI로 구축된 사이트의 경우 영향도 파악 및 개선 자체가 난해한 경우도 있다.

또한, 보안 이슈가 알려진 시점 전후에는 해당 취약점을 이용한 공격들이 많이 발생하기 때문에 빠른 조치가 필요하다. 하단의 검색내용과 같이 로그4J를 검색하면 수많은 관련 뉴스가 넘쳐날정도록 핫 이슈가 된 상황이다.

그림 2 로그 4J 관련 뉴스

자사의 E-GENE 제품을 사용하는 고객사도 로그4j의 관련 영향도 관련하여 영업을 비롯하여 담당자에게 많은 문의가 접수 되었다. E-GENE 제품은 SW버전 관리를 통하여 사용된 라이브러리 버전 및 환경을 관리하고 있어 취약점에 대한 빠른 분석 및 대응이 가능하였기에, 로그4j 관련 이슈가 발생하였을 때도 빠른 영향도 판단 및 이슈 대응을 진행하였다.

두 번째로, 개발 과정에서 발생 가능한 보안 이슈란 개발했던 소스코드가 악의적으로 이용될 수 있는 오류로 대표적으로 SQL 삽입(SQL Injection) 보안 취약점을 이용하여 SQL을 악의적으로 실행하여 이용하는 방법, XSS(Cross Site Scripting) 검증되지 않은 문자열이 다른 사용자들로 하여금 실행되도록 하여 사용자 정보 탈취 및 악성코드 감염을 시키는 보안취약점이 대표적이다.

에스티이지는 이러한 문제를 예방하기 위해 주기적으로 자체적 취약점 검증 및 프로젝트 사이트에서의 모의 해킹과 취약점 검증 과정에서 발견된 발견된 취약점에 대해서 보완 패치를 수행하고 있으며, 관련 고객사 공유를 통해 사이트에서 해당 이슈가 발생하지 않도록 조치하고 있으며, 안정적인 제품을 만들기 위한 자체 프로세스를 진행하고 있다.

하지만 제품내 기능의 추가 및 신기능의 적용 과정에서 의도하지 않은 결과로 나타날 수 있기 때문에 개발하는 과정에서 다양한 가능성을 인지하고 개발할 수 있도록 지속적인 공유 및 학습이 필요하다.

나날이 새로운 취약점 및 공격 방법이 발생하고 있지만, 이러한 일련의 과정이 지속되면 안전한 제품이 만들어질 것이라고 생각한다.

㈜에스티이지 R&D본부 박정우 차장

관련 정보
- Apache Log4j 취약점의 영향 이해
- Apache Log4j Security Vulnerabilities
- Apache Log4j Core Repository
- https://www.boho.or.kr