블로그

Log4j에서 얻은 교훈: 서둘러 수정하지 마세요

로리 맥비티 썸네일
로리 맥비티
2022년 2월 8일 게시


우리 대부분은 인간이라는 특성을 공유하며, 흔히 " 싸움이나 도피 "라고 불리는 현상을 경험했습니다. 이는 종종 심장이 두근거리고, 근육이 긴장되고, 손바닥이 땀을 흘리는 등의 강렬한 자율신경 반응으로 나타납니다. 이러한 반응에는 공황감이 수반될 수 있으며, 논리적으로 생각하는 능력이 사실상 존재하지 않게 만드는 결정 마비 현상도 나타날 수 있습니다.

기업은 수년간 위협적인 디지털 상황에 대응하면서 개발하고 다듬은 자체 대응책을 갖고 있습니다.

사업에 대한 위험은 인간에 대한 위험과 비슷합니다. 인간의 경우, 싸움이나 도피 반응이 지나치게 빈번하거나 강렬하거나 부적절하게 활성화되는 것은 다양한 임상적 문제와 관련이 있습니다. 이는 실제로 물리적 손상을 일으킬 수 있다는 것을 간략하게 표현한 것입니다. 기업 측면에서 디지털 싸움이나 도피 반응을 빈번하고 강렬하게, 또는 잠재적으로 부적절하게 활성화하는 것은 기업의 건강에 해로울 수 있습니다. 특히 보안 분야에서 그렇습니다.

잘 알려진 "슬픔의 단계"와 매우 유사하게 우리는 수십 년 동안 애플리케이션 및 인프라 관련 위협을 완화하기 위해 노력하면서 "보안 반응 단계"의 출현을 확인했습니다.  

보안 반응 단계

올바른 대응을 선택하는 것의 중요성

서둘러 문제를 해결하려고 하는 것은 장기적으로 볼 때 최선의 대응이 아닐 수 있는 반응 중 하나입니다. Apache에서 Log4j에 대해 처음 공개한 패치 도 취약 했기 때문에, 서둘러 수정에 나선 조직은 기본적으로 처음부터 다시 시작해서 모든 시스템을 다시 패치해야 했습니다.

바로 이 지점에서 저는 잠시 멈추어, 서둘러 시정 조치를 취하지 않는다고 해서 위험을 무시하거나 아무것도 하지 않는 것은 아니라는 점을 강력히 주장하고 싶습니다.

특히 디지털 비즈니스를 이끄는 데이터를 책임감 있게 관리하지 못하면 현실 세계에 큰 영향을 미치기 때문에 이 점을 기억하는 것이 중요합니다. Log4j의 여파로 미국 연방거래위원회(FTC)는 “Log4j로 인해 노출된 소비자 데이터를 보호하지 못한 민간 부문 기업을 겨냥한 조치가 취해질 것” 이라고 경고했습니다 . ( ZDNet )

완화가 먼저 오는 이유

완화가 시정 조치보다 먼저 이루어지는 데에는 이유가 있습니다. 그 중 가장 중요한 것은 인간의 본능인 "뭔가를 하려는" 본능과 시정 조치에 서두르려는 본능을 다루기 위해서입니다. 신속한 완화 조치는 또한 올바른 시정 조치 계획을 수립하는 동시에 고객 데이터가 유출되는 것을 방지하여 고객 데이터를 책임감 있게 관리해야 할 필요성을 해결합니다.  

특히 이처럼 광범위한 취약성을 다룰 때는 심층적인 소프트웨어 공급망 탐색이 필요하므로 완화가 첫 번째 조치여야 합니다. 취약한 패키지와 구성 요소가 어디에 숨어 있는지 알아내는 것이 매우 어렵고 널리 퍼져 있기 때문에 " #log4shell 에 대한 취약한 다운로드가 1월 4일에 전체적으로 46%에 달했다"는 결과가 나온 것 같습니다. ( 소나타입 )

디지털이 기본이 되는 세상에서 현실은 새로운 심각한 보안 취약점이 계속해서 기업을 혼란에 빠뜨리고 이미 과부하 상태인 리소스에 부담을 준다는 것입니다. 엔터프라이즈 애플리케이션 포트폴리오의 견고한 특성(종종 코어, 클라우드, 에지에 걸쳐 분산된 5세대 애플리케이션 아키텍처)으로 인해 수정 작업에 많은 시간과 에너지가 소모될 것으로 가정해야 합니다. 그렇기 때문에 신속한 완화가 매우 중요합니다. 이를 통해 압박감이 완화되고 수정에 대한 보다 신중하고 포괄적인 접근 방식이 가능해집니다. 여기에는 릴리스된 패치가 안전한지 확인하고 개발자가 기존 릴리스 주기에 맞춰 업데이트, 패치 및 테스트할 수 있도록 하는 접근 방식이 포함됩니다.

조직에서는 모든 환경에 걸쳐 완화를 지원하는 통제 지점이 있는지 확인해야 합니다. 웹 및 API 보호, 콘텐츠 검사 및 전략적 제어 지점에서의 차단 기능은 이러한 종류의 만연한 취약성에 직면했을 때 완화를 위한 일종의 "플랫폼"을 제공합니다. 동일한 제어 지점은 이러한 취약성을 악용하려는 시도를 폭로하는 형태로 귀중한 정보를 제공할 수도 있습니다.  

결론

우리 대부분은 어린 시절 소방 훈련을 기억할 것입니다. 화재가 났을 때 학교에서 안전하게 빠져나가는 방법을 연습했던 것입니다. 저는 토네이도 훈련도 했고, 전 세계 어린이들이 지진이나 쓰나미에 대비해 훈련한 적이 있을 거라고 추측합니다. 계획을 세우고 이를 실행하는 방법을 아는 것은 심각한 취약점에 대한 소식이 전해졌을 때 사람들이 당황하여 허우적거리는 시간을 줄이는 데 중요할 수 있습니다.

그러니 당황하지 마세요. 전략적 통제 지점을 활용하고 신속한 완화 에 집중하여 목적 있는 시정 조치를 실행할 수 있습니다.

그리고 기억하세요, 연습은 당황감을 줄여줍니다 . 스스로 "보안 화재 훈련"을 계획하고 실행하는 것은 전혀 나쁜 생각이 아닙니다.