보안SW기업 지니언스와 XDR 사업투자 협정을 체결한 보안솔루션기업 엑사비스가 자사의 ZDR·NDR 솔루션 넷아르고스(NetArgos)를 통해 확인한 Log4j에 대한 제로데이 침투의 위험성 사례를 언급했다.
엑사비스는 네트워크 트래픽을 저장하고 회귀보안검사를 통하여 제로데이(보안 취약점에 대한 패치가 나오지 않은 시점의 위협) 침투 정보에 대한 통합 검사와 분석을 통해 위협 탐지 범위와 수준을 확대하고, 보안 사각지대를 제거하여 잠재적인 보안 위협에 대한 대응을 고도화할 필요가 있다고 지적했다.
IT 역사상 최악의 취약점으로 분류되는 Log4j에 대해 취약점 스캔, 해킹 점검 툴 등 다양한 대응 방안이 제시되고 있지만 탐지 정보가 나오기 전에 이미 공격을 당한 제로데이 공격 및 침투 사례가 존재하기 때문에 취약점 확인만으로는 충분하지 않은 것으로 알려졌다.
국내 기업·기관에서도 유사한 내용이 확인되어 긴장감이 높아지고 있다. Log4j의 취약점 발견 후 탐지 정보와 패치가 제공되기 전 공격이 이뤄졌기 때문에 침해 여부조차 알 수 없는 상황으로 현재의 보안 대응 체계가 무력화될 수도 있다.
따라서 제로데이 침투가 이뤄진 내부 IP를 찾아내고 외부 IP로의 통신 차단과 멀웨어 제거가 이뤄질 수 있도록 취약점에 대한 방어, 조치・해결, 조사 등 종합적이고 다각적인 접근이 필요하다.
A대학교를 비롯한 다수의 대학교에서 넷아르고스의 회귀보안검사(시간상의 보안사각 검사) 리포트를 통해 Log4j의 탐지정보와 패치가 적용되기 며칠 전부터 이미 다수의 공격자들이 제로데이 침투를 한 것이 발견되었다.
B기관의 경우 변조·난독화 방법이 알려진 이후 이에 대한 탐지를 우회하기 위해 변조된 공격 방식을 사용하여 다양한 사이트로 제로데이 공격을 시도한 것으로 확인되었다.
C기업의 경우 공격 트래픽이 최초 발생한 이래 프로토콜 변조를 통해 침입탐지시스템 등을 우회한 신규 공격 방식을 사용한 것으로 조사됐다.
이시영 엑사비스 대표는 “Log4j 취약점 최초 공개 시점 며칠 전에도 공격 시도가 있었고, 이 중 몇몇은 성공한 것으로 파악됐다. ZDR 솔루션을 활용하여 패치 이전 공격 흔적까지 탐지해 잠재적인 위협에 대비할 수 있는 보안 체계가 필요하다”고 말했다.
