[아이티비즈 김건우 기자] KMS테크놀로지(대표 이창표)가 국내에 공급하는 시높시스의 오픈소스 보안취약점 탐지 솔루션인 블랙덕(Black Duck)이 최근 서버에서 폭 넓게 사용하는 오픈소스 로깅 라이브러리인 '로그4j(log4j)’에서 치명적인 보안 취약점(CVE-2021-44228)을 자동으로 탐지하여 신속하게 대응하도록 지원한다고 15dlf 밝혔다.
오픈소스 점검 및 관리도구인 블랙덕은 소프트웨어에 로그4j 취약점이 포함되었는지 자동으로 탐지한다. 또한 블랙덕은 자체적인 보안취약점 데이터베이스(BDSA)를 통해서, NVD(National Vulnerability Database)에 로그4j 취약점이 CVE-2021-44228로 등록되기 전에, 취약점 정보를 제공하였다.
로그4j는 프로그램 수행 중에 로그를 남기기 위해 사용되는 자바 기반 로깅 유틸리티다. 이번에 발견된 취약점은 로그4j에 존재하는 JNDI(Java Naming and Directory Interface) Injection 취약점으로 이를 악용하면, 악성 코드의 원격 실행(RCE)이 가능하게 된다.
이 취약점이 심각한 이유는 특별한 준비와 구성이 필요 없이 취약점을 악용할 수 있으며, 전세계 수많은 서버에서 사용되는 다양한 오픈소스에서 로그4j를 사용하고 있다는 점이다.
KMS테크놀로지 김상모 이사는 “시높시스의 블랙덕은 로그4j 취약점이 포함되었는지 자동으로 탐지하여 신속하게 대응할 수 있도록 돕는다"며 "국내 고객 지원을 위해 상담 서비스도 제공한다”고 말했다.
