알리가 또 곤경에 빠졌습니다! 네트워크 보안 취약점 발견, 산업정보부에 신고하지 않고 해외 기관에 통보

갑자기! 산업정보기술부는 알리바바 클라우드 정보 공유 플랫폼과의 협력 중단을 발표했다. 어떻게 되어가나요? Alibaba Cloud는 무엇을 약속했습니까? 이러한 질문을 이해하려면 먼저 Apache Log4j2 구성 요소를 알아야 합니다.

아파치 Log4j2 컴포넌트는 자바 언어 기반의 오픈소스 로그 프레임워크로 비즈니스 시스템 개발에 널리 활용되는 것으로 알려졌다. 11월 24일 Alibaba Cloud는 Apache Log4j2에서 보안 취약점을 발견했습니다. 하지만 알리바바 클라우드는 해당 취약점을 산업정보기술부에 즉시 신고하지 않고, 대신 아파치 소프트웨어 재단(Apache Software Foundation)에 취약점을 공개하는 데 앞장섰다.

아파치 소프트웨어 재단(Apache Software Foundation)은 오픈 소스 소프트웨어 프로젝트를 지원하기 위해 특별히 설립된 비영리 단체로 1999년 6월 미국 델라웨어에 등록되었습니다.

알리바바가 취약점을 공개한 뒤 오스트리아와 뉴질랜드 공식 컴퓨터 비상팀이 앞장서 이 취약점에 대한 조기 경고를 발령했지만, 중국 공업정보화부는 아파치만 발견했다. 전문 네트워크 보안 기관으로부터 보고를 받은 후 Log4j2 구성 요소에 심각한 보안 취약점이 있습니다.

공업정보화부, 중국 사이버 관리국, 공안부가 공동으로 발표한 '네트워크 제품 보안 취약성 관리 규정'에 따라 네트워크 제품 제공업체는 관련 취약성 정보를 보고해야 합니다. 2일 이내에 산업정보기술부에 신고했다. 산업정보기술부는 12월 9일 발표했다. 위에서 언급한 취약점은 알리바바 클라우드가 처음 발견한 지 15일이 지난 날 발견됐다.

이 취약점은 "컴퓨터 역사상 가장 큰 취약점"으로 간주된다는 점은 주목할 가치가 있습니다. 많은 클라우드 컴퓨팅 업계 관계자들은 이것이 매우 기본적인 로그 라이브러리 취약점이라고 지적했습니다. 구성 요소의 사용량이 많기 때문에 거의 모든 Java 프로그램이 관련되므로 영향이 엄청납니다.

산업정보부는 이번 취약점으로 인해 장비를 원격으로 제어할 수 있어 민감한 정보 도용, 장비 서비스 중단 등 심각한 피해를 초래할 수 있다고 지적했다. 위험 취약성. 관련 부서와 대중은 Apache Log4j2 구성 요소에 대한 취약점 패치 출시에 세심한 주의를 기울이고 있으며 자체 관련 시스템에서 Apache Log4j2 구성 요소의 사용을 조사하고 적시에 구성 요소 버전을 업그레이드하여 네트워크 보안 위험을 줄입니다.

위 내용을 읽고 나면 Alibaba Cloud가 어떤 약속을 했는지 모두가 알게 되실 거라 믿습니다! 산업정보기술부의 요구사항에 따라, 취약점을 발견한 네트워크 제품 제공업체는 2일 이내에 관련 취약점 정보를 산업정보기술부에 보고해야 합니다.

이러한 요구 사항은 대개 조기에 발견하고 빠르게 알면 적시에 허점을 방지하고 해결하여 손실을 피할 수 있기 때문입니다. 오히려 나중에 알려질수록 손실은 더 커진다.

이번 아파치 Log4j2 취약점은 원래 거의 전 세계에 영향을 미치고 있으며, 원래 우리나라는 11월 24일에 처리할 수 있었어야 했는데, 결국 15일 정도 지연되어 '침입'되었습니다. " 15일 안에? "모직 천?

따라서 산업 정보 기술부가 알리바바 클라우드 정보 공유 플랫폼과의 협력 중단을 발표 한 것은 당연합니다. 산업정보기술부는 알리바바 클라우드가 Apache Log4j2 구성요소에서 심각한 보안 취약점을 발견한 후 이를 적시에 통신 당국에 보고하지 못했고 산업정보기술부의 네트워크 수행을 효과적으로 지원하지 못했다고 밝혔습니다. 보안 위협 및 취약점 관리. 연구 결과, Alibaba Cloud는 위에서 언급한 협력 단위 자격이 6개월간 정지되었습니다. 정지 기간이 만료된 후 알리바바 클라우드는 시정 상황을 토대로 위에서 언급한 협력 단위의 복원을 연구할 예정입니다.