양봉열 로그프레소 대표, 정보보호 산업 발전 공로 장관 표창

보안 운영(SecOps) 플랫폼 전문 기업 로그프레소는 과학기술정보통신부가 주최한 '2022년 정보보호 산업인의 밤' 행사에서 자사의 양봉열 대표이사가 '정보보호산업 발전 유공 장관 표창'을 수상했다고 28일 밝혔다.

정보통신신문 기사 원문 - https://www.koit.co.kr/news/articleView.html?idxno=106215

양봉열 로그프레소 대표는 IT 역사상 최악으로 꼽히는 로그4j 취약점 대응을 스캐너를 개발하고, 오픈소스로 공개해 전세계적인 보안 위기상황을 해결한 공로를 인정받았다.

로그4j 대응 스캐너는 다운로드 120만회로 글로벌 1위를 기록했으며, 국내를 비롯해 마이크로소프트, VM웨어, 델, SAS, 시스코 등 글로벌 기업과 벨기에, 포르투갈, 에콰도르 등 외국 정부 보안권고문에 등재됐다. 더불어 IT 자산관리 소프트웨어 개발사인 독일 tribe29, 인도 HCL 등과 협력해 글로벌 사이버 보안 위기 상황을 타개했다.

로그4j는 인터넷 서비스 운영과 관리 목적으로 로그 기록을 남기는데 사용하는 프로그램이다. 지난 해 말 취약점이 공개된 이후로 세계적으로 수많은 공격 시도가 발생했으며, 올해에도 가장 주의해야 하는 보안 위협으로 꼽혔다.

양봉열 로그프레소 대표는 "대다수 기관과 기업의 IT 인력들이 해당 취약점으로 어려움을 겪는 상황을 돕고자 시작한 일로 수상을 하게돼 보람을 느낀다"며 "로그프레소는 앞으로도 안전한 사이버 보안 환경을 만들어 나가기 위해 노력할 것"이라고 밝혔다.

현재 로그프레소는 로그4j 취약점 스캐너를 클라우드에서 사용할 수 있는 무료서비스 '로그프레소 워치(logpresso.watch)'를 운영 중이다. 또한, 디지털 포렌식 툴 '로그프레소 미니'를 깃허브에 무료 배포하는 등 안전한 사이버 보안 환경 조성을 위한 다양한 활동을 진행하고 있다.

아울러, 다양한 기능을 추가 개발해 보안 이슈에 신속하고 효과적으로 대응할 수 있도록 지원하고, 장기적으로는 클라우드 보안관리 서비스로 발전시킬 계획이다.

둘러보기

더보기

[2022 SOAR 리포트] 사이버위협 고도화, 자동화 대응전략으로 ‘SO HOT’

날로 복잡해지고 고도화되고 있는 보안 위협의 효율적 대응 방안으로 ‘SOAR’ 솔루션이 떠오르고 있다. 보안뉴스 기사 원문 - [https://www.boannews.com/media/view.asp?idx=109381](https://www.boannews.com/media/view.asp?idx=109381) SOAR 솔루션, 전 세계 시장 연평균 15% 성장...2025년까지 약 18억 달러 규모 전망 보안관제 업무 중 가장 큰 문제점 : 미·오탐 업무 과중 31.3%, 보안전문 인력 부족 26.9% * [인터뷰] 한국사회보장정보원 최주원 박사, SOAR 솔루션 시험 운영 사례 * SOAR 대표 솔루션 집중분석 : 로그프레소, 안랩, 이글루코퍼레이션, 투씨에스지, 팔로알토 네트웍스 △ SOAR, 도입시 고려해야 할 사항 효율성과 편의성을 위해 SOAR 솔루션을 도입하려면 여러 가지를 고려해야 한다. 효율적인 플레이북(PlayBook) 제작을 위해 세부사항 준비는 물론, 프로세스 정립 등 여러 가지를 준비해야 한다. 이에 대해 SOAR 솔루션 기업은 솔루션 도입시 각종 고려사항을 제시했다. ### 로그프레소, 자동화 효과 사전조사와 API 지원 및 지속 연동돼야 로그프레소는 다음의 검토사항을 제시했다. 첫째, 기존의 위협 분석 및 대응 과정을 정리한 수작업 단계 중 어느 단계를 자동화하는게 효과가 가장 클지 사전 조사를 해야 한다. 둘째, 앞 단계에서 조사한 프로세스에 관련된 기존 운영 장비나 서비스가 API를 지원하는지 확인해야 한다. 기존 장비나 서비스가 API를 지원하지 않는다면 해당 솔루션 기업과 협의해 투입 비용 및 일정을 수립해야 한다. 셋째, SOAR 도입 후에도 지속적으로 연동 지원이 가능한지 검토해야 한다. 구축 시점에만 API 연동이 지원된다면 이후 운영 단계에서 어려움을 겪을 수 있다. ### SOAR, 차별화된 특장점으로 시장 ‘공략’ 로그프레소의 ‘로그프레소 마에스트로(Logpresso Maestro)’는 최다 API 연동 기능을 제공한다. 로그프레소 스토어를 통해 앱을 배포하고, 플랫폼에 앱을 설치하면 기능이 지속적으로 확장된다. 보안 장비나 인텔리전스 서비스뿐 아니라 퍼블릭 클라우드, SaaS, 메신저 등 광범위한 연동 기능을 제공한다. 파이썬 코딩 없이 쿼리만으로 임의의 REST API 서비스 연동이 가능하고, 단일 시스템으로 SIEM + SOAR 통합 구축이 가능하다. ### SOAR 대표 솔루션 집중분석 로그프레소의 보안운영 자동화 솔루션, ‘로그프레소 마에스트로’ #### 앱 설치 통해 플레이북 기능 지속 확장되는 보안운영 자동화 플랫폼 코로나로 인한 재택 근무의 확대, 클라우드 전환 등 비즈니스 환경의 급격한 변화로 관리해야 하는 IT 인프라 영역이 나날이 확장되고 있다. 반면, 수작업에 의존하는 기존 보안관제 체계는 폭증하는 위협 경보를 모두 처리하기 어려운 상태에 이르렀다. 로그프레소는 보안운영 및 대응 자동화 플랫폼 ‘로그프레소 마에스트로(Logpresso Maestro)’를 통해 이러한 환경 변화에 대응할 수 있는 효과적인 보안관제 체계 구축 방안을 고객에게 제시하고 있다. #### 보안 운영 효율을 극대화하는 SOAR 플랫폼 ‘로그프레소 마에스트로’ 지금까지는 통합보안관제시스템에 발생한 위협 경보에 대해 외부 인텔리전스, 이전 동일 경보 이력, 기존 IP 차단 여부, 내부 자산정보 등을 확인하는 과정을 거치고, 차단 조치 필요 시 각 방화벽, DDoS 장비 콘솔에 접속해 차단 대상 IP 주소를 입력하는 작업을 수행해야만 했다. 로그프레소 마에스트로는 플레이북 기반의 보안 운영 및 대응 자동화 체계를 제공해 단순 반복 작업에 의한 관제 업무 피로도를 감소시키고 고위험군 분석 업무에 집중할 수 있도록 한다. 예를 들면, 위협 경보 발생 시 추가로 확인해야 할 정보들을 각 보안 장비나 서비스로부터 미리 자동으로 취합해 제시하고, 보안 분석가의 판단에 따라 IP 차단, 호스트 격리, 계정 비활성화 등의 조치를 자동으로 수행한다. ![로그프레소 마에스트로](/media/ko/2022-08-31-boannews-soar-report/logpresso-maestro-playbook.png) ▲ 로그프레소 마에스트로 (Logpresso Maestro) 원천 로그의 유형이나 위협 탐지 방식에 따라 추가로 수행해야 할 제품 연동이나 대응 조치 방식은 달라질 수 있으므로, SOAR 솔루션 선정 시 사용자가 얼마나 자유롭게 플레이북을 편집할 수 있는가, 현재 운영하고 있는 제품이나 서비스가 모두 지원 가능한가 살펴보는 것이 중요하다. 로그프레소 마에스트로는 국내외 다양한 보안 벤더의 제품과 서비스를 연동하는 240개 이상의 명령어를 제공한다. 위지윅(WYSIWYG) 기반의 플레이북 편집을 지원하고, 파이썬 코딩을 전혀 모르더라도 쿼리만으로 복잡한 자료 변환과 REST API 연동을 수행할 수 있다. 로그프레소 마에스트로는 SIEM, SOAR 기능을 모두 포함하고 있다. 고객사 환경에 따라 기존에 운영하던 SIEM에 SOAR만 추가로 구축하거나, 기존 SIEM을 대체하면서 SIEM과 SOAR가 완전하게 통합된 보안운영 플랫폼을 새로이 구축하는 방식 중 하나를 선택할 수 있다. ![로그프레소 스토어](/media/ko/2022-08-31-boannews-soar-report/logpresso-store.png) ▲ 로그프레소 스토어(Logpresso Store) #### 로그프레소 스토어를 통한 앱 제공으로 지속적 플랫폼 기능 확장 언제든지 새로운 보안 장비나 서비스가 도입될 수 있기 때문에, 보안운영 자동화 솔루션의 기능이 지속적으로 확장될 수 있는가 하는 점은 매우 중요하다. 로그프레소는 국내 제조사 중 유일하게 로그프레소 스토어를 통해 새로운 앱을 지속적으로 배포한다. 사용자는 로그프레소 스토어에서 국내외 보안 장비와 인텔리전스 서비스를 지원하는 다양한 앱을 살펴보고 다운로드 할 수 있다. 로그프레소 마에스트로의 특징은 앱을 설치하면 플레이북에서 사용할 수 있는 자동화 기능이 확장된다는 점이다. 이러한 확장성을 가지고 있기 때문에 로그프레소 마에스트로는 단순한 솔루션이 아니라 보안운영 플랫폼으로 기능한다. 예를 들어, 금융기관의 경우 금융보안원 FCTI(Financial Cyber Threat Intelligence) 앱을 설치하면 기존 룰을 변경할 필요도 없이 요주의 IP 주소, 악성코드 해시, 악성코드 유포지 URL 피드가 자동으로 활성화되어 실시간 위협 탐지에 적용된다. 포티넷, 팔로알토 네트웍스, 엑스게이트 등 방화벽 앱을 설치하면 IP 차단을 원 클릭으로 수행할 수 있는 것은 기본이고, 위협 세션을 강제 종료하거나 룰 설정 정보, 세션 통신량을 실시간으로 대시보드에 시각화 할 수 있다. 파이어아이 EX 앱을 설치하면 기존의 단순 APT 경보 수신에 그치지 않고, 샌드박스에서 분석된 침해지표들을 자동으로 수집해 DB화함으로써 이미 차단된 악성코드의 변종에 대해서도 자동화된 탐지와 대응을 기대할 수 있다. AWS 앱을 설치하면 AWS 지출 비용을 실시간으로 조회할 수 있으며, Cloud Trail 연동을 통해 의도하지 않은 클라우드 인프라 형상 변경을 모니터링 할 수 있다. 또한, S3에 적재된 다양한 로그를 원격으로 수집해 각종 지표를 표시하고 위협을 탐지할 수 있다. #### 클라우드 SOAR 서비스 제공을 통해 변화하는 인프라 보안 수요에 대응 로그프레소는 퍼블릭 클라우드 중심으로 변화하는 인프라 환경을 지원하기 위해, 가까운 시일 내에 클라우드 SOAR 서비스를 출시할 계획이다. 로그프레소는 아마존, 구글, 네이버클라우드, NHN클라우드, KT 클라우드 등 국내외 다양한 퍼블릭 클라우드 사업자와 협력해 기업에서 자사의 클라우드 구성 형태에 따라 다양한 방식으로 로그프레소 클라우드 SOAR 서비스를 제공한다.

2022-08-31

로그프레소, 5년 내 SIEM 등 보안운영 시장에서 1위 지위 달성

로그프레소는 지난 13일 여의도 콘래드호텔에서 창립 10주년 기념 기자간담회를 개최하고, 향후 10년의 비전을 발표했다. 전자신문 기사 원문 - [https://www.etnews.com/20230414000174](https://www.etnews.com/20230414000174) “국내 보안운영(SecOps) 시장에서 올해 매출 80억원에서 5년 내 매출 300억원대를 달성해 클라우드 통합보안관제(SIEM) 등 보안운영 플랫폼 전문기업으로서 입지를 구축해 1위 자리에 올라설 것입니다.” 양봉열 로그프레소 대표는 지난 13일 여의도 콘래드호텔에서 가진 창립 10주년 기념 기자간담회에서 이 같은 비전을 발표했다. 오는 2027년 1000억원 규모로 예상되는 보안운영 시장에서 30% 점유율, 35% 이상 이익률을 달성한다는 것이다. 양봉열 대표는 “선택과 집중이란 키워드를 앞세워 오는 2025년 서비스형소프트웨어(SaaS) 기업 전환 달성을 목표로 이미 여정을 시작했다”면서 “올 하반기부터 로그프레소 클라우드 사업의 구체적인 성과를 확인할 수 있을 것”이라고 말했다. 그는 “빅데이터 원천 기술을 바탕으로 단일 플랫폼에서 보안 운영에 필요한 통합로그관리(LMS), 통합보안관제(SIEM), 보안운영자동화(SOAR) 등 모든 보안운영 기능을 제공할 수 있다는 점이 글로벌 기업과 경쟁에서 차별성을 띠며 금융·제조 시장 점유율을 확대하는 동력으로 작용하고 있다”고 말했다. 회사는 특히 온프레미스와 클라우드 시장을 아우르는 '원 플랫폼' 기술력을 강점으로 내세우고 있다. 퍼블릭과 프라이빗 클라우드가 혼재된 하이브리드 환경에서도 단일 플랫폼으로 최적 보안운영을 지원하는 것이다. 또 로그프레소 보안운영 플랫폼은 글로벌 경쟁사 대비 2배 이상 데이터 처리 성능을 가지고 있다. 데이터 보관 기간도 1년으로 경쟁사 대비 세 배 이상 장기 보관을 지원한다. 사용 고객은 클라우드 인프라 사용과 하드웨어 구매에 들어가는 비용을 대폭으로 절감할 수 있다. 회사는 최근 시리즈 A투자 유치 자금 60억원을 SaaS에 집중해 고성장·고수익을 내는 클라우드 보안 운영 플랫폼 기업으로 전환하는 발판으로 삼기로 했다. 양 대표는 “온프레미스에서 구독기반의 SaaS 기업으로 변신할 때 필연적으로 매출이 감소하고 이 과정에서 필요한 현금 유동성을 확보했다”면서 “2025년 해외 시장 본격 진출을 위해 시리즈B 투자 유치도 검토하고 있다”고 말했다. 그는 “충분한 현금 유동성 확보를 위해 투자를 유치한 만큼 구성원을 크게 늘리지 않는 구조에서 SaaS사업에 집중한다”면서 “마케터, AM(Account Manager), CSM(Customer Success Manager) 등 안정적 서비스에 필요한 데브옵스(DevOps) 충원을 통해 최적 SaaS 사업 구조를 실현한다”고 강조했다.

2023-04-14

CVE-2022-41852 JXPath 취약점 공지

로그프레소 제품의 Apache Commons JXPath 취약점과 관련하여 대응 방안을 안내드립니다. ### 관련 자료 미국 시간으로 2022-10-06에 JXPath 라이브러리 취약점이 CVE-2022-41852으로 공개되었습니다. * [https://nvd.nist.gov/vuln/detail/CVE-2022-41852](https://nvd.nist.gov/vuln/detail/CVE-2022-41852) * [https://hackinglab.cz/en/blog/remote-code-execution-in-jxpath-library-cve-2022-41852/](https://hackinglab.cz/en/blog/remote-code-execution-in-jxpath-library-cve-2022-41852/) ### 영향 범위 2015년 7월 이후에 배포된 모든 로그프레소 버전에 org.araqne.logdb.jxpath 번들로 commons-jxpath 1.3 버전이 포함되어 있습니다. 인증된 사용자 권한으로 쿼리를 실행할 수 있다면 JXPath 취약점을 악용할 수 있습니다. ### 취약점 설명 JXPath 라이브러리는 [Standard Extension Functions](https://commons.apache.org/proper/commons-jxpath/users-guide.html#Standard_Extension_Functions) 라는 명칭으로 임의의 자바 코드를 실행할 수 있는, 기본으로 활성화해서는 안 되는 기능을 내장하고 있습니다. 이를 이용하면 임의로 시스템을 종료시키거나, 의도하지 않은 코드를 실행할 수 있습니다. ### 현장 대응 조치 (Workaround) 아래와 같이 대응 조치해주시기 바랍니다. 1. 로그프레소 쉘 접속 후 번들 ID 확인 ``` logpresso> bundle.list jxpath [ ID] Symbolic Name Version Status ------------------------------------------------------------------ [ 50] org.araqne.logdb.jxpath 0.2.0 ACTIVE ``` 2. JXPath 번들 삭제 및 새로고침 단계 1에서 확인한 번들 ID를 기입하여 삭제합니다. (예시는 50이나 버전별로 상이할 수 있음) ``` logpresso> bundle.uninstall 50 bundle 50 uninstalled successfully. logpresso> bundle.refresh bundles are refreshed. ``` ### 제조사 대응 계획 JXPath는 문서화되지 않은 기능이므로 이후 배포되는 로그프레소 모든 패키지에서 JXPath를 원천 제거할 예정입니다.

2022-10-20