Log4j 취약점이 데브섹옵스의 중요성을 강조하는 이유

2021년 12월, 전 세계 IT 보안 팀과 개발 조직은 무례한 모닝콜을 받았습니다.연구원들은 수많은 Java 애플리케이션 및 서비스에 내장된 인기 로깅 구성 요소인 Apache Log4j 유틸리티에서 심각한 보안 취약점을 발견했습니다.이 취약점에 대한 소식으로 인해 IT 보안 팀과 개발 조직은 자체 네트워크에서 취약한 Log4j 버전의 모든 인스턴스를 찾기 위해 분주히 움직이고 있습니다.

또한 Log4j 취약점으로 인해 DevSecOps 팀은 이제 이론적이지 않다고 느껴지는 질문에 답해야 했습니다.Log4j 또는 기타 취약점으로 인해 내부 개발 애플리케이션이 손상될 경우 보안 팀이 공격을 격리하고 피해를 완화할 수 있을까요?현재의 DevOps 관행은 조직이 자체 코드를 통해 빠르고 효과적으로 위협을 추적할 수 있도록 대비하고 있습니까?

Log4j 취약점을 간단히 살펴보고, 이 취약점이 DevSecOps 팀에 미치는 영향, 취약한 소프트웨어가 공격을 받았을 때 이를 수정하기 전에 DevSecOps 팀이 위협을 완화하는 데 Illumio의 제로 트러스트 세그멘테이션이 어떻게 도움이 되는지 살펴보겠습니다.

Log4j 취약점과 이것이 중요한 이유

이 모든 관심을 끄는 취약점에는 다음이 포함됩니다. Log4j의 Java 이름 지정 및 디렉토리 인터페이스 사용 (JNDI) 는 Java 애플리케이션에서 널리 사용되는 이름 지정 및 조회 API입니다.Log4j의 초기 버전에서는 기본적으로 JNDI의 메시지 조회 대체 기능이 활성화되었습니다.공격자는 이 기능을 사용하여 신중하게 구성된 메시지를 응용 프로그램에 제출하여 공격자가 제어하는 LDAP 서버 또는 기타 엔드포인트에서 로드된 코드를 응용 프로그램이 실행하도록 할 수 있습니다.이 코드는 애플리케이션 네트워크에서 멀웨어를 설치하거나, 데이터를 유출하거나, 기타 악의적인 작업을 수행할 수 있습니다.

Log4j가 널리 사용됩니다.구글은 이 기술이 도입된 것으로 추정하고 있습니다. 자바 패키지의 4% 가장 중요한 Java 패키지 리포지토리로 널리 알려진 Maven 중앙 리포지토리에 있습니다.Log4j는 웹 애플리케이션부터 백엔드 서비스 및 IoT 장치용 사용자 지정 앱에 이르기까지 모든 종류의 소프트웨어에서 사용됩니다.

이 취약점이 발표되자마자 IT 보안 팀은 네트워크를 샅샅이 뒤져 파일 이름과 환경 내 모든 디렉터리에서 Log4j가 존재한다는 기타 징후를 찾기 시작했습니다.DevOps 팀도 자체 아카이브를 뒤져 자체 애플리케이션에서 Log4j를 사용할 수 있는지 찾느라 바빴습니다.

위험이 높습니다.사이버 범죄자들은 이미 이 취약점을 이용해 랜섬웨어 공격을 시작하고, 기업 네트워크에 코인 채굴 소프트웨어를 설치하고, 벨기에 국방부에 침투했습니다.공격자들은 해당 취약점을 노리는 새로운 형태의 멀웨어를 설계하고 있습니다.예를 들어, 새로운 Night Sky 랜섬웨어는 공격 대상이 됩니다. VM웨어 호라이즌 소프트웨어의 Log4j 취약성.

더 큰 그림: 소스 코드 취약성과 이로 인한 위험

Log4j 취약점은 내부 개발 조직의 두 가지 큰 문제를 강조합니다.첫째, DevOps 도구와 프로세스가 아무리 체계적으로 구성되어 있더라도 대부분의 조직은 애플리케이션에 사용되는 모든 구성 요소를 결정하는 데 어려움을 겪습니다. 특히 구성 요소가 라이브러리로 내장되거나 다른 서비스와의 종속성을 통해 액세스하는 경우에는 더욱 그렇습니다.

예를 들어 Log4j의 경우 Log4j JAR 파일을 저장소에 두지 않고도 응용 프로그램에 유틸리티를 포함할 수 있습니다.응용 프로그램에서 모든 소프트웨어 구성 요소 (오픈 소스 또는 기타) 의 모든 버전을 찾는 것은 어렵고 시간이 많이 걸리는 작업입니다.

둘째, 취약점으로 인해 애플리케이션이 공격을 받고 있는 것으로 밝혀지면 보안 팀은 공격이 네트워크의 다른 시스템으로 확산되기 직전에 공격을 격리할 수 있는 방법이 필요합니다.

Log4j 공격을 탐지하고 차단하는 것은 민감한 데이터를 보호하고 운영 연속성을 보장하는 것뿐만 아니라 이러한 목표도 분명히 중요합니다.

하지만 규정 준수의 관점도 있습니다.2022년 1월 4일에 미국 연방거래위원회 (FTC) 는 과태료 및 벌금을 부과할 것이라고 발표했습니다. Log4j 취약점으로 인해 기밀 소비자 데이터가 침해되도록 허용한 회사에 대해

인용 시점 에퀴팩스에 대한 7억 달러 벌금 FTC는 Apache Struts 프레임워크의 패치되지 않은 취약점으로 인해 소비자 데이터가 유출된 것에 대해 “향후 Log4j 또는 유사한 알려진 취약점으로 인해 소비자 데이터가 노출되지 않도록 합리적인 조치를 취하지 않는 회사를 추적하기 위해 완전한 법적 권한을 사용할 계획”이라고 발표했습니다.

Log4j는 잠재적 위협으로 가득 차 있는 거대한 빙산의 일각이라는 것이 밝혀졌습니다.Log4j뿐만 아니라 다음과 관련된 취약점을 찾아 수정하기 위해서입니다. 모든 소프트웨어 구성 요소 기업은 자체 애플리케이션 또는 실행 중인 타사 애플리케이션에서 소프트웨어 환경에 대한 포괄적인 가시성이 필요합니다.데이터 침해로 이어지기 전에 이러한 취약성을 발견하지 못하면 엄격한 규제 벌금이 부과되고 조직의 브랜드에 지속적인 손해가 발생할 수 있습니다.

다행히 DevSecOps가 도움이 될 수 있습니다.

소프트웨어 취약성 위협을 완화하는 데브섹옵스의 역할

DevSecOps의 기본 개념은 간단합니다. 소프트웨어를 개발하고 배포할 때 보안을 고려하지 않아야 한다는 것입니다.대신 설계부터 개발, 테스트, 릴리스 및 운영 관리에 이르기까지 DevOps의 모든 단계에 보안이 포함되어야 합니다.DevSecOps는 DevOps 프로세스를 통해 개발 및 관리되는 소프트웨어 애플리케이션에 보안을 구축하는 방식입니다.

DevSecOps는 Log4j 취약점과 같은 문제를 해결하는 데 어떻게 도움이 될 수 있습니까?

첫째, DevSecOps 모범 사례에서는 개발 팀이 애플리케이션을 빌드하고 관리할 때 Log4j와 같은 구성 요소의 업데이트된 버전을 사용해야 합니다.

둘째, DevSecOps는 개발 및 테스트 조직이 애플리케이션에 사용되는 오픈 소스 구성 요소를 포함한 모든 구성 요소의 버전을 추적하도록 요구할 것입니다.이렇게 하면 IT 보안 커뮤니티에서 특정 구성 요소의 취약점을 발표할 경우 DevSecOps 조직은 자체 애플리케이션 중 어떤 것이 영향을 받는지 신속하게 파악할 수 있습니다.

마찬가지로 DevSecOps의 모범 사례에서는 애플리케이션 내에 보안 제어를 내장해야 한다는 것입니다. 그래야 불가피하게 다른 오픈 소스 라이브러리 또는 구성 요소가 취약한 것으로 판명될 경우 팀이 모든 것을 보호할 수 있습니다. 제로데이 공격 이러한 취약점을 신속하고 효과적으로 차단합니다.방어 조치가 이미 마련되어 있는 경우 조직은 취약점에 대한 패치가 며칠 또는 몇 주 남았더라도 공격을 방어하기 위한 조치를 취할 수 있습니다.

내장하기에 가장 좋은 보안 제어 수단 중 하나는 시스템에 내장된 방화벽을 사용하여 인증된 사용자 및 프로세스로만 네트워크 트래픽을 제한하는 보안 정책을 적용하는 제로 트러스트 세그멘테이션 솔루션입니다.제로 트러스트 세그멘테이션은 공격자가 이용할 수 있는 네트워크 경로를 크게 줄임으로써 공격자를 몰아넣고 처음에 침해할 수 있는 소수의 시스템에 공격자를 격리시킵니다.제로 트러스트 세그멘테이션을 사용하면 공격자가 악성 사이트에서 코드를 다운로드하여 실행할 수 없게 됩니다.

공격이 네트워크에서 격리되면 사이버 범죄자는 다른 시스템에 랜섬웨어를 퍼뜨릴 수 없습니다.그들은 네트워크를 몰래 탐색하여 유출할 귀중한 데이터를 찾을 수 없습니다.그들은 마치 천창을 뚫고 들어갔다가 곰의 덫에 걸린 불운한 도둑처럼 제자리에 갇혀 있습니다.들어왔지만 아무데도 안 갈 거예요그리고 알람이 울렸어요.

Illumio는 개발/운영 팀에 필요한 가시성과 자동화를 제공합니다.

일루미오 제로 트러스트 세그멘테이션 개발 팀이 복잡한 네트워크 또는 보안 관행을 배울 필요 없이 엄격한 보안 제어를 애플리케이션에 쉽게 내장할 수 있게 해주기 때문에 모든 DevSecOps 조직에 유용한 보안 솔루션입니다.

Illumio는 개발자와 보안 팀이 제로 트러스트 세그멘테이션 정책을 쉽게 정의할 수 있도록 하여 애플리케이션을 보호합니다.일단 만들어지면 조직은 Illumio를 사용하여 이러한 정책을 쉽게 적용할 수 있습니다. 가상 단속 노드 (VEN) 은 조직의 애플리케이션이 실행되는 시스템에 이미 구축된 호스트 기반 방화벽과 함께 제공됩니다.Illumio VEN은 소프트웨어 빌드에 쉽게 포함될 수 있는 가벼운 페일 세이프 클라이언트입니다.광범위한 설계 변경은 필요하지 않습니다.

Illumio 솔루션은 방화벽을 사용하지만 개발자가 복잡한 방화벽 규칙 세트를 프로그래밍해야 하는 수고를 덜어줍니다.대신 개발자와 보안팀이 적용하려는 정책을 정의하여 필요한 트래픽만 애플리케이션을 통과하도록 허용한 다음 해당 정책을 애플리케이션에 내장된 VEN으로 푸시하여 적용할 수 있습니다.

DevSecOps 조직은 다양한 애플리케이션 및 환경에 대한 정책을 미세 조정할 수 있습니다.특히 다음을 기반으로 정책을 정의할 수 있습니다.

• 애플리케이션 내 역할
• 애플리케이션 자체
• 애플리케이션이 실행되는 환경 (예: 개발, 테스트 또는 프로덕션)
• 환경 위치: 예: 미국 서부 해안 데이터 센터의 프로덕션 환경

그런 다음 데브섹옵스 팀은 소프트웨어 빌드에 Illumio VEN을 추가하기만 하면 됩니다.애플리케이션 환경에서 실행되면 VEN이 이를 적용합니다. 제로 트러스트 정책의심스러운 측면 이동이 감지되면 경고를 표시하고 활성 공격에 대응하여 트래픽을 줄여 감염된 엔드포인트를 네트워크의 나머지 부분으로부터 격리합니다.

일루미오는 또한 제공합니다 C-VEN 클라이언트 및 쿠벨링크 서비스 마이크로서비스 아키텍처에서 널리 사용되는 컨테이너화된 환경에서 사용할 수 있습니다.C-VEN은 Kubernetes 클러스터의 각 노드에서 포드로 실행되는 가벼운 Illumio 에이전트로, 노드와 해당 노드에서 실행되는 모든 포드를 보호합니다.데몬셋으로 제공되는 C-VEN은 클러스터가 성장함에 따라 확장 및 축소됩니다.Kubelink는 쿠버네티스 API 서버를 모니터링하여 클러스터 내 리소스에 대해 학습하고 PCE에 쿠버네티스 컨텍스트를 제공하는 Illumio 서비스입니다.패키지로 제공되며 클러스터당 하나의 복제본만 필요하므로 Illumio 컨테이너 솔루션의 확장성이 뛰어납니다.

DevSecOps 팀은 Illumio PCE와 상호 작용하는 두 가지 방법을 사용합니다. 하나는 PCE 사용자 인터페이스 또는 잘 문서화된 REST API를 사용하는 것입니다.데브섹옵스 팀은 API를 사용하여 Illumio를 CI/CD 파이프라인에 통합할 수 있습니다. 이렇게 하면 제로 트러스트 세그멘테이션이 데브셉옵스 워크플로우의 표준 부분이 될 수 있습니다.또한 보안팀은 API를 사용하여 Illumio를 다른 보안 도구 및 워크플로우와 통합할 수 있습니다.

Illumio 제품군은 다음과 같은 엔드포인트를 포함하여 애플리케이션 및 서비스가 배포되는 모든 곳에서 제로 트러스트 세그멘테이션을 제공합니다.

• 데이터센터: 일루미오 코어
• 퍼블릭, 프라이빗 또는 하이브리드 클라우드: 일루미오 클라우드시큐어
• 엔드포인트 디바이스: 일루미오 엣지

Log4j는 위험한 취약점을 포함하는 것으로 밝혀진 마지막 소프트웨어 구성 요소가 아닙니다.DevSecOps 방식을 채택하고 Illumio를 사용하여 전 세계 애플리케이션에 제로 트러스트 세그멘테이션을 적용함으로써 조직은 시간이 많이 걸리는 네트워크 스캐닝과 위협 헌팅 작업을 계속하면서 데이터, 애플리케이션 및 사용자를 보호할 준비를 할 수 있습니다.

자세히 알아보려면:

• 솔루션 개요를 확인해 보세요. 개발자용 일루미오.
• 문의하기 데모용입니다.