보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

Log4j 사례를 통한 CTI 활용 가이드

2022.12.06

269

01. 개요

지금까지 2022년 월간보안동향 3월호(IGLOO CTI 소개 및 기능), 7월호(이글루 CTI 활용하기 : How to use IGLOO CTI) 등을 통해 CTI에 대해 살펴보았다.

이번호에서는 실제적인 보안 이슈에 대하여 어떻게 활용할 수 있는지 2021년 12월에 발생한 Log4j 취약점 공격 사례를 통해 살펴보겠다.

해당 취약점은 Java 기반 로깅 라이브러리인 Apache Log4j에서 치명적인 결함이 발견되었으며, 공식적으로 CVE-2021-44228로 식별되었다.
Log4j 취약점은 원격 코드 실행(RCE)을 허용할 수 있는 JNDI(Java Naming and Directory Interface™) 주입 취약점이며, 영향을 받는 Apache Log4j 버전의 기록된 메시지에 신뢰할 수 없는 데이터(예: 악성 페이로드)를 포함함으로써 공격자는 JNDI 조회를 통해 악성 서버에 연결할 수 있다.

[그림 1] 일별 Apache Log4j 취약점 스캔 횟수 (출처: Paloalto Networks)

[그림 1]은 Apache Log4j 취약점 발생 후, 해당 취약점 스캔 한 횟수이다. 그래프에서도 확인할 수 있듯이, 취약점이 발생하게 되면, 해당 취약점이 패치되기 전까지 이를 악용하는 악성 행위자들에 의한 공격이 기하급수적으로 증가하게 됨을 알 수 있다. 이러한 사례를 통해 취약점이 패치되기 전까지 필요한게 위협인텔리전스를 활용한 대응이지 않을까 한다.

그럼 지금부터 IGLOO CTI에서는 어떻게 대응할 수 있는지 살펴보도록 하겠다.

02. CTI 포털 사이트 활용하기

먼저 IGLOO CTI(https://cti.igloosec.com/) 에 브라우저를 통해 접속한 후,
IGLOO CTI 메뉴에서 “log4j” 관련 정보를 검색하기 위해 위협 정보 메뉴를 통해 접근한다.

[그림 2] IGLOO CTI 대시보드

위협 정보 메뉴에서는 IoC 정보, 수집 정보를 제공하고 있다.
IoC 정보에서는 수집하고 있는 침해지표(IoC:Indicator Of Compromise)를 표현하고 있으며,
[그림 3] 우측의 태그에 “log4j”를 입력하여 검색하면, “log4j” 태그가 들어간 IoC 침해지표가 출력 된다.

[그림 3] IGLOO CTI 위협 정보_IoC 정보 (1)

[그림 3]에서 수집 정보 클릭 시, 설명 및 해당 수집 정보의 IoC 리스트를 확인할 수 있으며, 해당 리스트를 JSON, CSV, STIXv1 형식으로 다운로드할 수 있다.

[그림 4] IGLOO CTI 위협 정보_IoC 정보 상세내용

위의 단일 수집 정보 다운로드 외에, “log4j” 태그에 대한 모든 리스트 저장은 우측 상단의 파일 저장 버튼을 클릭하여 위와 마찬가지로 JSON, CSV, STIXv1 형식으로 다운로드할 수 있다.

[그림 5] IGLOO CTI 위협 정보_IoC 정보 (2)

태그 외에도 “log4j” 가 포함되어 있는 모든 항목을 검색하기 위해서는 IoC 정보 옆의 수집 정보 탭을 클릭하여, 검색 창에 입력 후 검색하면, [그림 5]와 같이 “log4j”가 포함되어 있는 모든 수집 정보를 확인할 수 있다.

[그림 6] IGLOO CTI 위협 정보 수집 정보

또한 [그림 6]에서 수집 정보 클릭 시, 설명 IoC 리스트 등 상세한 정보를 확인할 수 있으며, 해당 메뉴는 하나의 수집 정보에 대한 IoC 리스트 다운로드만 가능하다.

[그림 7] IGLOO CTI 위협 정보 수집 정보

이렇게 수집된 위협 정보는 관제에 활용되는 SIEM, 보안 장비 등에 추가하여 활용할 수 있다.

03. CTI와 SIEM 연동을 통해 활용하기

앞에서 다룬 포털 사이트를 통해 다운로드하여, 시스템에 위협 정보를 관제 요원이 추가하게 될 경우 업무에 부하가 생길 수 있다. 이러한 업무의 부하를 줄이기 위해 CTI와 SIEM을 연동하여 활용하는 방법에 대하여 살펴보겠다.

SPiDER TM의 메뉴에서 관리>운영관리>CTI 연동 메뉴를 통해 CTI와의 연동을 확인할 수 있다.
SIEM과 연동하기 위해서는 CTI와 SIEM이 통신이 가능해야 하며, 발급받은 API Key를 통해 연동한다.

[그림 8] SPiDER TM CTI 연동

SPiDER TM의 메뉴에서 예방활동>유해IP 메뉴 접근을 통해, 위의 매일 IP 자동 업데이트 동기화 설정을 통해 CTI와의 연동을 통해 차단된 IP와 분류, 설명을 확인할 수 있다.

그러나 예시의 log4j와 같은 경우 업무의 시급성에 따라 3~4시간 주기로 설정할 수 있다.

[그림 9] SPiDER TM 유해 IP

또한 CTI와의 연동을 통해 차단되는 IP를 단일 경보로 생성할 수 있으며, 적용된 경보가 정해진 주기에 따라 자동으로 Rule에 적용되어 관제 요원의 업무 부하를 줄일 수 있다.

[그림 10] SPiDER TM CTI 탐지정책룰

04. REST API를 통한 호출

REST API 메뉴는 데이터 연동을 위한 API 설명 페이지이다.
IGLOO CTI에서 수집하는 모든 정보를 API 기능으로 제공하고 있으며, 자사 제품(API) 및 타사 제품(STIX/TAXII)에 대한 데이터 연동을 지원한다.

[그림 11] IGLOO CTI REST API (1)

그럼 지금부터 API 접근을 통해 위협 정보를 활용하는 법을 살펴보겠다.
(사정상 포털 사이트에서 제공하는 REST API 테스트 페이지를 활용하도록 하겠다.)

[그림 11]의 우측 상단의 Authorize 버튼을 클릭하면 API 사용 접근을 위한 인증 화면을 확인할 수 있으며, API Key 값을 입력해야 한다.

[그림 12] IGLOO CTI REST API Key인증 화면 (1)

API Key는 신청한 고객은 이메일을 통해 발급되며, 또한 CTI의 마이페이지 내에서 확인할 수 있다.
우선, 마이페이지 메뉴에서는 전체 피드와 내 피드를 확인할 수 있다.
전체 피드에서는 CTI에서 수집 중인 해외 위협 정보, 국내 위협 정보, 인사이트(해외), 인사이트(국내)를 확인할 수 있으며, 전체 47건의 피드에서 데이터를 수집하고 있다.
내 피드에서 수집되고 있는 사이트를 확인할 수 있다.

[그림 13] IGLOO CTI 마이페이지 (1)

[그림 14]에서 마이페이지 내의 좌측 상단의 내 정보에서 API Key 값을 확인할 수 있으며, 우측의 버튼을 통해 복사할 수 있다.

[그림 14] IGLOO CTI 마이페이지 (2)

마이 페이지에서 복사한 API Key 값을 입력하면 접근이 허용이 되며, 아래와 같이 표시되면 API 사용이 활성화 된다.

[그림 15] IGLOO CTI REST API Key인증 화면 (2)

사용할 API를 클릭하여 'Try it out' 을 클릭하면 API 옵션 값 설정이 활성화된다.

[그림 16] IGLOO CTI REST API (2)

API 옵션 값을 입력 후, Execute 버튼을 클릭하면 아래의 결과 화면으로 값을 확인할 수 있다.

[그림 17] IGLOO CTI REST API (3)

해당 값을 확인할 수 있는 url과 JSON으로 Download 버튼이 활성화되며, 클릭 시 다운로드 가능하며, 타사의 SIEM이나 SOAR 등에 사용할 수 있다.

[그림 18] IGLOO CTI REST API (4)

05. 결론

지금까지 IGLOO CTI를 통한 Log4j 취약점 공격 대응 방안에 대해 살펴보았다.

log4j 취약점 공격과 같은 큰 규모로 발생한 보안 이슈의 경우 한차례에 끝나는 것이 아닌, 해당 취약점을 악용한 다른 악성 행위자들을 통해 끊임없이 들어 발생하게 된다.

IGLOO CTI는 국내외 기업·기관에서 수집한 보안 위협 정보를 지속적으로 공유함으로써 이러한 사이버 공격을 사전에 예방하고, 공격을 탐지할 수 있다.