쿤텍이 오픈소스 통합 관리 솔루션인 ‘화이트소스’로 로그4j 보안 취약점에 대한 자동 탐지와 수정 사항을 제공한다고 22일 밝혔다. 로그4j는 자바 기반 오픈소스 로깅 유틸리티로, 인터넷 서비스 운영과 유지 관리, 프로그램 개발 관리 등 광범위하게 활용되고 있어 관련 취약점으로 인한 큰 피해가 우려되고 있다. 

로그4쉘로 불리는 해당 취약점은 악의적인 공격자가 아파치 로그4j 버전에서 구성, 로그 메시지, 매개변수에 사용되는 JNDI 기능을 제어함으로써 LDAP, 기타 JNDI 관련 엔드포인트를 보호할 수 없게 만든다.

이로 인해 공격자는 JNDI 룩업 패턴을 사용해 서비스 거부을 수행할 수 있으며, 최악의 경우에는 데이터 유출까지 우려된다. 

오픈소스 통합 관리 솔루션인 화이트소스는 SaaS 기반 보안 취약점 데이터베이스를 통해 자동으로 해당 취약점을 탐지하고, 수정 권고 사항을 제공한다.

로그4쉘 취약점이 보고되기 전에 심각도가 높은 취약점 경고에 대한 정책 설정을 마친 경우, 라이브러리에 대한 직·간접 종속성을 통해 해당 취약점의 영향을 받는 경우에 자동으로 알람을 제공한다. 

심각도가 높은 취약점에 대해 별도의 정책을 설정하지 않았다면, 화이트소스 UI에서 직접 취약점 보고서를 확인하여 제품 또는 프로젝트에 미치는 영향을 확인하고 완화 정책을 수행할 수 있다.

특히 이번 로그4j 취약점과 관련하여 화이트소스는 깃허브를 통해 무료 도구인 ‘화이트소스 로그4j 디텍트’를 제공하여 코드베이스의 취약점 완화를 지원한다. 이를 통해 기존의 오픈소스 프로젝트를 빠르게 스캔하여 취약한 로그4j의 버전과 경로를 식별할 수 있다.