[아이티비즈 김건우 기자] 서버보안 전문기업 엘에스웨어(대표 김민수)가 최근 발견된 컴퓨터 역사상 최악의 보안 취약점이라고 알려진 아파치 Log4j의 취약점에 대해 자사의 서버보안솔루션을 사용하고 있는 모든 국내 고객에게 피해가 발생하지 않도록 긴급 점검 및 해당 취약점을 점검할 수 있는 'Log4Shell' 취약점 점검 서비스를 제공했다고 14일 밝혔다.
엘에스웨어 김민수 대표는 “당사가 공급하고 있는 보안 취약점 점검 솔루션인 씨큐엠에스(SecuMS)을 사용하고 있는 고객은 점검항목 정책 업데이트를 통해 자동으로 'Log4j' 보안 취약점을 탐지하도록 점검 서비스를 제공하고 있으며, 엘에스웨어 보안 취약점점검 솔루션을 사용하지 않고 있는 고객에게는 한국인터넷진흥원(KISA)을 통해 필요한 보안 조처를 통해 해결할 수 있도록 돕고 있다“고 말했다.
엘에스웨어 보안취약점 대응팀에서는 Log4j 2 이전 버전(Log4j 1.x 이하)을 사용하는 고객은 현재 아파치(Apache) Log4j 2에서 발생하는 원격코드 실행 취약점(CVE-2021-44228)에 영향을 받지는 않지만 다른 악성코드 감염 등의 피해 방지를 위해 최신 버전으로 업데이트할 것을 권고했다.
아파치 Log4j는 오픈소스 로깅 라이브러리로, 기업들이 인터넷 서비스 운영, 관리 목적의 로그기록을 남기기 위해 사용하는 프로그램이다.
해당 보안취약점은 지난 11월 알리바바 클라우드팀에 의해 처음 발견되었으며, 12월 10일 PaperMC가 자사 Discord 서버를 이용하여 긴급 공지를 전송함으로써 해당 취약점이 밝혀지기 시작했다. 또한, 이 취약점은 역대 비디오게임 판매량 1위인 온라인게임 ‘마인크래프트’ 기술 책임자가 트위터를 통해 보안 문제에 대한 공식적인 발표를 하면서 본격적으로 알려졌다.
이와 관련해, 국내에서도 과힉기술정보통신부가 12일 보도자료를 통해 아파치 Log4j 2 서비스에 대한 긴급 보안업데이트를 권고한 바 있다.
엘에스웨어는 국내 대기업, 금융기업, 공공기관 등 100여개 기업 및 고객에 서버보안솔루션인 옴니가드와 취약점 관리 솔루션인 시큐엠에스를 공급하고 있다. 또한 오픈소스 라이선스 거버넌스 및 오픈소스 보안취약점 관리 컨설팅을 진행하고 있으며, 국제표준 SPDX 기반의 오픈소스 라이선스 검증 및 추적기술을 통해 SBoM(Software Bill of Materials) 기반의 공급망체계에서 소프트웨어의 소스코드 없이도 보안취약점을 탐지할 수 있는 기술을 개발하여 제공하고 있다.
