조 바이든(Joe Biden) 대통령이 만든 새로운 사이버 보안 패널에 따르면 작년에 유비쿼터스 소프트웨어에서 발견된 컴퓨터 취약점은 잠재적으로 XNUMX년 이상 보안 위험을 초래할 "고유한" 문제입니다.
XNUMXD덴탈의 사이버안전심의위원회 목요일 보고서에서 주요 징후는 없지만 사이버 공격 Log4j 결함으로 인해 "앞으로 몇 년 동안 악용"될 것입니다.
"로그4j 이는 역사상 가장 심각한 소프트웨어 취약점 중 하나입니다.”라고 이사회 의장인 국토안보부 차관보 롭 실버스가 수요일 기자들에게 말했습니다.
작년 말에 공개된 Log4j 결함을 통해 인터넷 기반 공격자는 산업 제어 시스템에서 웹 서버 및 소비자 전자 제품에 이르기까지 모든 것을 쉽게 제어할 수 있습니다. 결함 악용의 첫 번째 명백한 징후는 마인 크래프트, Microsoft가 소유한 매우 인기 있는 온라인 게임.
이 결함의 발견은 정부 관리의 긴급 경고와 사이버 보안 전문가의 엄청난 노력을 촉발하여 취약한 시스템을 패치했습니다.
이사회는 목요일에 "다소 놀랍게도" Log4j 버그의 악용이 전문가들이 예측한 것보다 낮은 수준에서 발생했다고 말했습니다. 이사회는 또한 중요한 인프라 시스템에 대한 "중대한" Log4j 공격을 인지하지 못했지만 일부는 사이버 공격 신고하지 않고 가십시오.
이사회는 Log4j가 일상적으로 다른 소프트웨어에 내장되어 있고 조직이 시스템에서 실행 중인 것을 찾기 어려울 수 있기 때문에 미래의 공격이 상당 부분 일어날 것이라고 말했습니다.
Silvers는 "이 이벤트는 끝나지 않았습니다.
Java 프로그래밍 언어로 작성된 Log4j는 컴퓨터에서 사용자 활동을 기록합니다. 오픈 소스 Apache Software Foundation의 후원 하에 소수의 자원 봉사자가 개발 및 유지 관리하는 이 소프트웨어는 상용 소프트웨어 개발자에게 매우 인기가 있습니다.
중국 기술 대기업의 보안 연구원 Alibaba 24월 XNUMX일 재단에 통보했습니다. 수정 사항을 개발하고 릴리스하는 데 XNUMX주가 걸렸습니다. 중국 언론은 정부가 처벌했다고 보도했다. Alibaba 정부 관리들에게 결함을 더 일찍 보고하지 않았기 때문입니다.
위원회는 목요일 중국 정부의 취약성 공개 정책에서 "문제가 되는 요소"를 발견했다고 밝혔습니다. 이는 중국 국가 해커가 영업 비밀을 훔치거나 반체제 인사를 염탐하는 것과 같은 악의적인 수단에 사용할 수 있는 컴퓨터 결함을 조기에 살펴볼 수 있게 해준다고 말했습니다. 중국 정부는 오랫동안 사이버 공간에서의 불법 행위를 부인해 왔으며 이사회에 소프트웨어 취약점에 대한 정보 공유 개선을 장려한다고 말했습니다.
이사회는 Log4j 결함의 여파를 완화하고 사이버 보안을 전반적으로 개선하기 위한 여러 권장 사항을 제공했습니다. 여기에는 대학과 커뮤니티 칼리지가 사이버 보안 교육을 컴퓨터 과학 학위 및 인증 프로그램의 필수 부분으로 만들자는 제안이 포함됩니다.
사이버안전심의위원회(Cyber Safety Review Board)는 비행기 추락 및 기타 주요 사고를 심사하는 미국교통안전위원회(National Transportation Safety Board)를 모델로 했으며 지난 15월 바이든 전 부통령이 서명한 행정명령에 의해 위임됐다. XNUMX인의 이사회는 FBI, 국가안보국(National Security Agency) 및 기타 정부 관리와 민간 부문 인사로 구성됩니다. 새 이사회의 일부 지지자들은 DHS를 시작하고 실행하는 데 너무 오랜 시간이 걸린다고 비판했습니다.
바이든의 행정명령은 이사회에 러시아의 대규모 사이버 스파이 활동에 대한 첫 번째 검토를 수행하도록 지시했다. SolarWinds. 러시아 해커는 DHS의 최고 사이버 보안 관리에 속한 계정을 포함하여 여러 연방 기관을 침해할 수 있었지만 해당 캠페인의 전체 결과는 아직 불분명합니다.
Silvers는 DHS와 백악관이 Log4j 결함을 검토하는 것이 새로운 이사회의 전문성과 시간을 더 잘 활용하는 데 동의했다고 말했습니다.
