에스에스알 ‘SolidStep CVE 솔루션’, Log4j 같은 CVE 취약점 자동 진단한다

기존 SolidStep 도입 고객들, 별도의 에이전트 추가 없이 SolidStep CVE 연동 가능

[보안뉴스 원병철 기자] 지난 11일 아파치(Apache) 소프트웨어 재단의 오픈소스 자바(Java) 로깅 프레임워크인 ‘Log4j’ 라이브러리에서 심각한 보안 취약점(CVE-2021-44228)이 발견돼 국정원은 긴급 보안 권고문을 내리고 상황 파악과 차단에 주력하며 대응에 나섰다. 위험도 10.0의 매우 심각한 수준의 취약점으로 분류된 CVE-2021-44228(원격코드 실행)은 해커가 Log4j 취약버전 대상으로 악성페이로드 전송시, 원격코드 실행이 가능해 심각한 피해를 야기할 수 있는 만큼, 보안 업데이트 등 관련 조치를 빠르게 수행해야 한다.

▲SolidStep CVE 솔루션[이미지=SSR]

보안 취약점 진단 자동화 솔루션 개발사인 에스에스알(대표 고필주)은 해당 취약점과 같은 CVE 취약점을 자동으로 체크해 자산위험에 노출되었는지 수시로 진단하고 빠르게 조치할 수 있는 CVE 취약점 진단 자동화 솔루션 ‘SolidStep CVE(솔리드스텝 CVE)’ 최신 버전으로 발빠른 대응에 나선다고 14일 밝혔다.

SolidStep CVE는 CVE 취약점 진단부터 권고, 조치 결과 확인, 보고까지 모든 과정을 체계적으로 원스톱 관리할 수 있는 솔루션이다. 특히 최신 발표되는 CVE 취약점 정보를 주기적으로 반영해 취약점들을 지속적으로 점검하고 분석하여 피해 사고를 사전에 예방할 수 있기 때문에, 이번 로그4j 취약점과 같이 긴급 보안 취약점이 발견되는 즉시 빠르게 진단해 조치할 수 있으며 향후 유사 CVE 취약점에 대해서도 능동적인 대응이 가능하다.

CVE 취약점은 CCE 취약점과 다르게 하루에도 수십 개씩 발견되고 있으며, 이를 악용한 새로운 해킹 공격도 지속적으로 증가하고 있다. 게다가 아직까지 국내에서는 CVE 취약점에 대한 강제성이 미비하고 솔루션을 도입하려고 해도 외산 솔루션에 의존하는 실정이다.

보안 컨설팅의 노하우와 검증된 기술력을 집약해 보안 취약점 진단 자동화 솔루션을 직접 개발한 에스에스알은 이러한 국내 시장에 맞는 CVE 취약점 진단 솔루션의 필요성을 직시해 SolidStep V2.5를 업그레이드하면서 진단 유형을 세분화한 SolidStep CVE 최신 버전을 제공하고 있다.

기존 SolidStep을 도입한 고객들은 별도의 에이전트 추가 없이 SolidStep CVE 연동만으로 Log4j 취약점과 같이 MITRE 및 KISA에서 제공하는 CVE 취약점들을 자동으로 점검하여 선제 대응할 수 있도록 지원한다.

SolidStep CVE는 인프라 취약점 진단 자동화 솔루션인 SolidStep CCE와 동일하게 사용자 편의성을 높인 Web UI 방식으로 자산그룹 관리, 상세 진단 결과 가이드, 진단 결과에 대한 조치관리 및 이력관리 기능을 적용함은 물론 국내외 보안 컴플라이언스를 모두 완벽하게 준수한다.

뿐만 아니라 고객 맞춤 진단을 위해 에이전트 방식, 원격 진단(Agentless) 방식, 수동 진단 방식을 지원함으로써 진단의 정확도를 높였으며, 보유 자산 안의 모든 소프트웨어 및 사양, 최신 패치 반영 여부 등을 쉽고 빠르게 원클릭 전수 진단할 수 있어 보다 안전한 자산 및 인벤토리까지 체계적 관리가 가능한 특징을 가지고 있다.

고필주 에스에스알 대표이사는 “에스에스알은 IT 인프라부터 어플리케이션까지 모든 IT 자산의 취약점 진단이 가능한 보안 취약점 진단 솔루션 라인업을 보유하고 있으며, 최고의 보안 전문가들이 끊임없이 보안 트렌드에 맞는 기능 개발에 최선을 다하고 있다”며, “이번 Log4j와 같은 치명적이고 긴급한 취약점으로 인한 피해를 사전에 방지하고, 고객의 보안 사각지대를 줄일 수 있는 대한민국 대표 보안 솔루션이 되도록 더욱 노력하겠다”고 말했다.
[원병철 기자(boanone@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)