log4j 취약점이 사이버보안 커뮤니티에 충격을 안긴 지 18개월이 넘었지만, 최근 보고서에 따르면 2022년 10월 1일 기준으로 log4j 다운로드의 무려 40%가 여전히 악용에 취약하고 조직의 72%가 여전히 log4j에 취약한 것으로 나타났습니다. 2023년 5월 한 달 동안만 해도 F5 분산 클라우드 플랫폼은 고객을 100만 건 이상의 log4j 공격 시도로부터 보호하는 데 도움을 주었는데, 이러한 공격은 웹 앱과 API 보호 기능을 통해 성공적으로 완화되었습니다.
이는 조직이 CVE 수정 관리를 따라잡는 데 어려움을 겪으면서 지속적으로 발생하는 과제를 강조하는 하나의 CVE의 단순한 예이며, 이 문제는 앞으로도 계속 커질 것입니다. CVE가 공개되는 수는 늘어나고 있으며, F5 Labs에서는 일반적인 주당 새로운 CVE가 공개되는 속도가 2025년까지 주당 500개로 급증할 것으로 예상합니다. log4j 취약점이 노출된 지 거의 2년이 지났지만, 기업들은 여전히 광범위한 문제가 진화함에 따라 따라잡기 위해 노력하고 있습니다. 패치와 업데이트가 제공됨에도 불구하고 log4j와 같은 지속적인 취약성에 영향을 미치는 요소는 여러 가지가 있습니다.
새로운 취약점의 엄청난 수와 빈도로 인해 조직은 발생하는 취약점을 따라잡기 위해 고군분투하고 있으며, 이는 제한된 정보나 새로운 권고 사항을 최신 상태로 유지하기 위한 리소스로 인해 발생할 수도 있습니다. 취약점이 확인되면 취약한 시스템에 패치를 적용하는 것은 복잡해질 수 있습니다. 특히 상호 연결된 시스템을 갖춘 대규모 조직의 경우 상당한 노력과 조정이 필요하여 패치 적용 주기가 길어질 수 있습니다. 대부분의 조직에는 기존 및 최신 인프라, 시스템, 애플리케이션이 혼합되어 있어 이러한 문제가 더욱 복잡해지고, 이로 인해 중요한 업데이트를 구현할 때 호환성 문제, 높은 비용 또는 불편한 시간 투자가 발생할 수 있습니다. 또한 복잡한 패치 및 업데이트는 소프트웨어 공급망이나 인프라 구성 요소 내에 존재할 수 있는 간접적인 종속성으로, 조직이 취약한 시스템을 직접 사용하지 않더라도 사각지대가 될 수 있습니다. 소프트웨어 코드 자체와 마찬가지로 인간의 오류와 간과도 완화 노력을 방해할 수 있습니다. 개발자나 관리자가 패치의 필요성을 간과하거나 시스템을 잘못 구성할 수 있기 때문입니다. 마지막으로, 복잡한 IT 인프라나 위험 회피적 문화를 갖춘 조직에서는 광범위한 테스트, 중단에 대한 우려 또는 경쟁적인 비즈니스 우선순위로 인해 패치 도입이 지연될 수 있습니다. 이 모든 복잡성에 더해 대부분의 조직은 인력이 부족한데, 특히 보안 분야에서는 그렇습니다. 그러면 그들이 시스템과 애플리케이션을 패치하고 업데이트하기 위해 열렬히 노력하는 동안 어떻게 따라잡을 수 있을까?
패치는 이루어지지만 종종(이번 log4j의 경우처럼) 충분히 빠르게 이루어지지 않고 새로운 CVE가 빠르게 식별되기 때문에 조직에서는 아무리 패치가 적용되고 최신 상태라도 애플리케이션 앞에 포괄적인 보안 계층을 갖추는 것이 필수적입니다. F5의 분산 클라우드 웹 앱 및 API 보호 (WAAP)와 같은 솔루션을 사용하여 내부 앱과 웹 기반 앱을 모두 보호하는 것은 조직이 패치 및 업데이트 백로그를 처리하는 동안 취약성 격차를 메우는 데 매우 중요합니다.
일부 리소스 및 관련 링크: