보도자료

전자정부 표준프레임워크도 로그4j 사용중... 보안 패치 방법은? 2021.12.13
표준프레임워크 포털, log4j 패치 대상 확인방법부터 버전별 패치방법까지 공지

[보안뉴스 원병철 기자] 전자정부 표준프레임워크센터도 ‘로그4j(Log4j)’ 취약점에 노출된 것으로 확인됐다. 표준프레임워크센터는 긴급공지를 통해 Apache 소프트웨어 재단의 취약점 해결 보안 업데이트를 확인하고 해결방안을 따를 것을 권고했다.

▲표준프레임워크 포털[캡처=보안뉴스]


Log4j 패치 대상 확인 방법
우선, 표준프레임워크센터는 Log4j 패치를 해야 하는 대상인지, 아닌 지를 확인하기 위해서는 2가지 방법이 있다고 설명하고 있다. 첫 번째 개발환경에서의 확인방법으로, 이클립스 개발환경에서는 pom.xml 파일을 오픈해 Dependency Hierarchy 탭을 오픈한 후, 목록에서 log4j-core : 2.X.X가 있는지 확인하면 된다. 최종적으로 적용되는 버전은 ‘Resolved Dependency’ 목록에서 확인이 가능하며, 또는 이클립스 개발환경에서 Maven Dependency 항목의 목록에서 log4j-core-2.X.X.jar 파일이 있는지 확인하면 된다.

두 번째 운영환경에서 확인하는 방법은 WAS 서버에서 웹 프로젝트가 배포된 WEB-INF/lib 디렉토리에서 log4j-core-2.X.X.jar 파일이 있는지 확인하면 된다.

참고로 이번 취약점에 영향을 받는 버전은 ‘apache log4j 2.0-beta 9 ~ 2.14.1 모든 버전’이며, 표준프레임에서 각 버전별 최초 배포되는 Log4j의 버전은 다음과 같다.

3.0 : Log4j 2.0
3.1 : Log4j 2.0
3.5 : Log4j 2.1
3.6 : Log4j 2.5
3.7 : Log4j 2.8.2
3.8 : Log4j 2.10.0
3.9 : Log4j 2.11.2
3.10 : Log4j 2.12.1
4.0(베타) : Log4j 2.14.0


버전별 Log4j 패치 방법
표준프레임워크센터는 전자정부에서 제공하는 로그를 사용할 경우 다음 설명을 따라하면 된다. 먼저 ‘JDK 1.8’ 이상인 경우 ‘log4j-core-2.15.0.jar’를 적용할 수 있는데, pom.xml에 다음을 추가하면 된다.


아울러 배포시 대상서버에 WEB-INF/lib 디렉토리에 log4j-core-2.15.0.jar 파일이 배포됐는지 확인해야 한다.

두 번째로 ‘JDK 1.7’로 ‘Apache Log4j 2.0-beta9 ~ 2.10.0’에 해당하는 경우 ‘JndiLookup 클래스’를 경로에서 제거하면 된다. 대상 클래스는 ‘zip -q -d log4j-core-*.
jar org/apache/logging/log4j/core/lookup/JndiLookup.class’ 명령어로 삭제할 수 있다.

아울러 Java 8 이상으로 업그레이드 후 Log4j 2.15.0을 패치하는 것이 가장 권장되는 방법이지만, Java 8로 업그레이드할 수 있는 상황이 아닐 경우에는 Apache Log4j 버전별로 조치해야 한다고 설명했다.

Log4j 2.0-beta9 ~ 2.10.0
-JndiLookup 클래스를 경로에서 제거 : zip -q -d log4j-core-*.
jar org/apache/logging/log4j/core/lookup/JndiLookup.class

Log4j 2.10 ~ 2.14.1
JVM 환경변수에서 다음을 추가한다.
Dlog4j2.formatMsgNoLookups=true

OS 환경변수에서 다음을 추가한다.
LOG4J_FORMAT_MSG_NO_LOOKUPS 환경변수를 true로 설정


한편, 표준프레임워크센터는 표준프레임워크를 적용하고 있지 않은 JVM 기반 웹서비스라고 해도 자바(Java) 기반 JVM 환경을 사용하는 모든 서비스에서 Apache Log4 j2를 사용하는 시스템은 모두 조치 대상이라고 강조하고, 개발시 다양한 라이브러리가 추가로 적용되어 있을 수 있기 때문에 반드시 개발 환경이나 테스트베드 환경에서 확인한 후에 운영서버에 반영해야 한다고 강조했다. 보다 자세한 사항은 표준프레임워크 포털(기술지원)에서 확인이 가능하다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

eGISEC은 정보보호 및 정보화 솔루션에 대한 구체적인 정보를 제공합니다. 무료 사전등록