회사에 FTC: 최대한 빨리 Log4j를 패치하거나 분노하십시오

연방 거래 위원회는 log4j가 제기하는 위협을 마음에 두지 않는 회사에 대한 메시지를 가지고 있습니다. 패치 또는 변호사 업. 스스로 경고했다고 생각하십시오.

지금쯤이면 앞서 언급한 버그 에 대해 들어보셨을 것입니다 . 현재 인터넷의 많은 부분을 괴롭히는 크고 끔찍한 보안 취약점( CVE-2021-44228 )입니다(실제로 여러 취약점 이 발견되었지만 초기 취약점은 대부분의 문제를 야기함). 실제로, log4j는 12월 초에 발견된 이후로 범죄 해커가 공격하기 전에 웹의 가장 큰 회사들이 자신들의 제품과 시스템을 스크램블하고 패치하도록 강요했습니다. 화요일 FTC 는 이 전체 프로세스의 우선 순위를 완전히 지정하지 않을 수 있는 회사에 엄중한 경고를 발령했습니다 .

기관은 성명 에서 "Log4j에 의존하는 회사와 공급업체가 소비자에게 피해를 줄 가능성을 줄이고 FTC의 법적 조치를 피하기 위해 지금 행동하는 것이 중요합니다"라고 밝혔습니다 . 기업 소프트웨어 및 웹 응용 프로그램에 대한 수백만 개의 소비자 제품에 심각한 위험이 있습니다." FTC는 "향후 Log4j 또는 이와 유사한 알려진 취약점으로 인해 소비자 데이터가 노출되지 않도록 합당한 조치를 취하지 않는 기업을 추적하기 위해 모든 법적 권한을 사용할 것"이라고 덧붙였습니다.

FTC는 고객 데이터를 위험에 빠뜨리는 표준 이하의 보안 관행에 대해 회사를 고소할 권한이 있습니다. (2015년 미국 항소법원의 판결 도 이 정도 였다.) FTC가 기업에 대해 개인정보 보호 조치를 취한 것은 이번이 처음이 아니다. 예를 들어 2017년 FTC는 스마트 홈 제품의 보안에 대한 허위 진술로 대만의 IoT 하드웨어 제공업체인 D-Link와 그 미국 자회사를 고소했습니다. 이 기관은 또한 신용 회사가 치명적인 데이터 유출 을 겪은 후 2019년에 Equifax로부터 700만 달러의 합의금을 확보하는 데 도움 을 주었습니다 .

새로운 FTC 발표는 다소 공격적으로 들릴 수 있지만 확실히 합리적입니다. log4j 취약점은 연쇄적인 악의적인 활동 과 다수의 세간의 이목을 끄는 해킹 사건 을 포함하여 이미 엄청난 양의 문제를 야기했습니다 . Apache에서 제공하는 무료 오픈 소스 로깅 라이브러리에 존재하는 버그는 대부분의 미국인이 의존하는 주요 플랫폼의 대다수에서 사용됩니다. (Amazon, Apple, Cloudflare, Twitter, LinkedIn 등과 같은 브랜드를 생각해 보십시오.)

기업에 법적 위협이 아닌 유용한 리소스를 제공하기 위해 FTC는 발표에서 최신 Apache 소프트웨어 패키지 업데이트에 대한 링크와 취약점 완화 방법에 대한 사이버 보안 및 인프라 보안 기관의 지침도 제공했습니다. 관심이 있는 경우 여기에서 모든 내용을 확인할 수 있습니다 . 그리고 당신이 회사라면 이미 패치를 적용하십시오.