< P > 알리가 또 사고났어! 사이버 보안 허점을 발견하고 공신부에 보고하지 않고 외국 기관에 통지했다

< /p>

버스트! 공신부는 아리운 정보 * * * 와의 플랫폼 협력 중단을 발표했다. 어떻게 된 거야? 아리운은 무슨 일을 저질렀습니까? 이러한 질문을 이해하려면 먼저 아파치 Log4j2 부품을 알아야 합니다. < /p>

아파치 Log4j2 구성 요소는 Java 언어 기반의 오픈 소스 로그 프레임워크로 비즈니스 시스템 개발에 널리 사용되는 것으로 알려져 있습니다. 11 월 24 일 아리운은 아파치 (Apache) Log4j2 에 보안 허점이 있음을 발견했다. 그러나 아리운은 처음으로 공신부에 보고하지 않고 아파치 소프트웨어 재단에 이 허점을 먼저 공개했다. < /p>

아파치 소프트웨어 재단은 오픈 소스 소프트웨어 프로젝트를 지원하기 위해 특별히 설립된 비영리 단체로 1999 년 6 월 미국 델라웨어에 등록되어 있습니다. < /p>

알리가 허점을 공개한 후 오스트리아와 뉴질랜드 공식 컴퓨터 응급팀이 먼저 이 허점에 대해 경고했고, 중국 공신부는 사이버 보안 전문 기관의 보고서를 받은 뒤에야 아파치 Log4j2 구성 요소에 심각한 보안 허점이 있음을 발견했다. < /p>

공신부, 국가망신처, 공안부가 공동 발행한' 인터넷 제품 안전허점 관리 규정' 에 따르면 인터넷 제품 제공자는 2 일 이내에 공신부에 관련 허점 정보를 제출해야 하고, 공신부는 12 월 9 일 이런 허점을 발견해 아리운이 처음 발견된 지 15 일이 지났다. < /p>

이번 허점은' 컴퓨터 역사상 가장 큰 허점' 으로 여겨진다. 여러 클라우드 컴퓨팅 업계 인사들은 이것이 매우 기본적인 로그 라이브러리 취약점이라고 지적했다. 구성 요소 사용량이 많기 때문에 거의 모든 Java 프로그램이 포함되기 때문에 영향이 크다. < /p>

공신부에 따르면 이 취약점으로 인해 장비가 원격으로 통제되어 민감한 정보 도용, 장비 서비스 중단 등 심각한 피해를 초래할 수 있으며, 위험도가 높은 취약점이라고 합니다. 관련 기관과 대중은 아파치 Log4j2 구성 요소 취약성 패치 릴리스를 면밀히 주시하고, 자체 관련 시스템인 아파치 Log4j2 구성 요소 사용량을 조사하고, 구성 요소 버전을 적시에 업그레이드하여 네트워크 보안 위험을 줄입니다. < /p>

이 글을 다 보고 아리운이 무슨 일을 저질렀는지 다들 아실 겁니다! 공신부의 요구에 따르면 인터넷 제품 제공자는 허점을 발견하고 2 일 이내에 공신부에 관련 허점 정보를 제출해야 한다. < /p>

이 요구 사항은 일반적으로 일찍 발견되고, 빨리 알고, 제때에 방비하고, 허점을 해결하고, 손실을 피할 수 있기 때문이다. 반대로, 늦게 알수록 손실이 커진다. < /p>

이번 아파치 로그 4j2 허점은 전 세계에 거의 영향을 미치고 있으며, 원래 우리나라는 11 월 24 일에 대응했어야 했는데, 결국 15 일 뒤처졌고, 15 일 동안 얼마나 많은 설비가' 침입' 을 당했을까? < /p>

따라서 공신부가 아리운 정보 * * * 와의 플랫폼 협력 중단을 선언한 것도 놀라운 일이 아니다. 공신부에 따르면 아리운은 아파치 Log4j2 구성 요소가 심각한 보안허점을 발견한 뒤 통신주관부에 제때 보고하지 않고, 통신부의 사이버 보안 위협과 허점 관리를 효과적으로 지지하지 않았다고 밝혔다. 연구에 따르면 아리운사는 이 같은 협력단위로 6 개월간 휴업하고 있다. 유예기간이 만료된 후 아리운사의 정비 상황에 따라 이 같은 협력단위의 재개를 연구한다. < /p >