[세계테크]Alibaba 연구원은 글로벌 소프트웨어 결함을 발견했지만 베이징은 보고 지연에 대해 불평합니다.(log4j2)

 

중국 정부가 Log4j2 문제에 대한 시기적절한 보고를 이유로 알리바바 클라우드와의 파트너십을 중단했습니다.

 

싱가포르—11월 말 Alibaba Group Holding Ltd. 연구원은 현재 전 세계적으로 정부와 기업을 괴롭히고 있는 글로벌 소프웨어 취약성에 대해 오픈 소스 소프트웨어 취약점을 찾아 경고했습니다 .

 

이번 주, 이 회사는 관계자들의 말에 따르면 Log4j2 소프트웨어 결함을 적시에 베이징에 보고하지 않아 중국에서 곤경에 처했습니다.

 

기술을 담당하는 중국 부처는 이 문제로 알리바바의 클라우드 컴퓨팅 사업부와 사이버 보안 제휴를 중단했다고 중국 관영 매체들이 보도했습니다.

 

컴퓨터 네트워크와 응용 프로그램의 활동을 기록하는 무료 코드인 Apache Log4j 소프트웨어의 결함은 이번 달에 공개되었으며,

 

기업과 정부 시스템에 대한 접근 권한을 얻기 위해 해커들에 의해 악용되고 있습니다.

 

미국에서는 수억 개의 장치가 위험에 처해 있으며 크리스마스 이브까지 위협을 완화하기 위한 조치를 취할 것을 연방 기관에 명령하는 긴급 지시를 내렸습니다.

 

비영리 Apache Software Foundation에서 배포하는 Log4j는 기업 컴퓨터 네트워크, 웹 사이트 및 응용 프로그램에 걸쳐 정보를 수집하는 데 가장 널리 사용되는 도구 중 하나입니다.

 

항저우에 본사를 둔 전자상거래 회사의 자회사인 알리바바 클라우드의 첸 자오쥔 연구원이 이 취약성을 처음 보고했다고 아파치 소프트웨어 재단의 대변인이 밝혔습니다.

 

온라인 아파치 로깅 서비스 보안 보고서에 따르면 첸 씨는 알리바바 클라우드 보안 팀의 직원입니다.

 

사이버 보안 전문가들은 소프트웨어 결함을 발견한 연구자들의 일반적인 예절은 수정 사항을 발행할 수 있는 개발자들에게 취약점을 비공개로 보고하는 것이라고 말합니다.

 

이러한 패치가 시행되기 전에 소프트웨어 결함 또는 업데이트를 공개하면 해커들 사이에서 이러한 문제를 이용하려는 경쟁이 벌어질 수 있습니다.

 

알리바바는 중국의 보도 지연 주장과 첸 총통의 개입에 대해 언급하기를 거부했습니다.

 

첸 씨는 11월 24일 이 결함에 대한 재단의 주의를 환기시켰고, 하루 만에 자원봉사자 팀이 운영하는 아파치가 그의 보고서를 받아들여 수정 사항 연구를 시작했다고 소프트웨어 그룹은 말했습니다.

 

아파치는 향후 2주 동안 첸 총통과 여러 차례 연락을 주고받으며 가능한 해결책에 대해 논의했다고 합니다.

 

아파치가 패치를 출시할 준비가 거의 다 된 12월 9일, 첸 씨는 중국 채팅 포럼에 있는 사용자들이 이 결함을 논의하고 있다고 재단에 경고했고,

 

해커들이 이미 이 결함을 이용하려고 할 가능성이 제기되었다고 비영리 단체의 자원봉사 개발자 중 한 명인 Gary Gregory는 말했습니다.

 

"거기에서의 타이밍은 좋지 않았습니다."라고 그레고리 씨가 말했습니다.

 

수요일, MIIT로도 알려진 중국의 산업정보부는 알리바바 클라우드와의 사이버 보안 위협과 정보 플랫폼이 알리바바 클라우드와의 협력을 6개월 동안 중단할 것이라고 국영 차이나 데일리가 U.C.를 인용해 보도했습니다.

 

알리바바 클라우드는 회원들에게 이러한 결함에 대한 정보를 신속하게 보고하도록 요구하는 국가 사이버 보안 위협 플랫폼의 일부라고 보고서는 밝혔습니다.

 

알리바바가 로그4j2 결함을 적시에 관련 당국에 보고하지 않은 것은 중국 MIIT가 위협에 효과적으로 대처하려는 노력에 걸림돌이 됐다고 차이나데일리는 보도했습니다.

 

외교부는 알리바바의 시정 조치를 현재의 협력 관계를 재개하기 전에 재평가할 것이라고 말했다고 차이나 데일리가 덧붙였습니다.

 

MIIT는 업무 시간 이후에 보낸 팩스 코멘트 요청에 응답하지 않았습니다.

 

※이 글은 wsj의 경제컬럼을 번역&스크랩한 기사입니다.

※기사의 발행일은 2021/12/23 입니다.