Log4j, 사상 최악의 보안 취약점 발견 ... 애플 iCloud도 해당

Log4j에 심각한 취약점이 발견되었습니다. 이 취약점의 이름은 현재 Log4Shell로 불리고 있습니다.

해당 취약점을 공격하면 공격자는 목표 컴퓨터의 모든 권한을 얻을 수 있게 됩니다. 비밀번호 없이 서버를 통해 내부망을 접근하고 데이터를 약탈하거나 악성 프로그램을 심고 실행시킬 수 있고 파일 삭제까지 가능합니다.

이 취약점은 Java 기반 유명 게임 마인크래프트에서 처음 발견되었습니다. Java 기반 마인크래프트 버전에서 특정 메시지를 채팅으로 보내면, 대상 컴퓨터를 원격으로 실행시킬 수 있는 것으로 나타났습니다. MS는 이 취약점이 공개되고 즉시 개선 버전을 배포했습니다.
취약점이 마인크래프트에서 처음 발견되었을 뿐, 사실상 모든 서버가 취약점에 노출된 것과 마찬가지입니다.

현재 Apple, 아마존, 트위터, 클라우드플레어 등 대규모 IT 기업 또한 Log4j를 사용하고 있어 취약점이 노출되어 있습니다.

보안 업체 LunaSec는 애플의 iCloud 또한 새로운 Log4Shell에 취약하다고 밝혔습니다. 공격자는 QR코드를 통해 악성 코드를 전송할 수 있으므로 악용 위험성이 더 큽니다.

 

현재 애플은 이 취약점에 대한 언급은 하지 않았습니다.