playXP

https://news.naver.com/main/read.naver?mode=LSD&mid=sec&sid1=105&oid=018&aid=0005104792 

log4j라고 해서

자바기반 웹프로그래밍에서 쓰이는 로그 작성하는 api인데

오픈소스이고 업계에서 워낙 유명하기도 하거니와

대한민국의 전자정부프레임워크에서도 어지간해서는 log4j를 사용하는지라

우리나라에서는 꽤 많은 부서/업체에서 해당 프로그램을 쓴다고 봐도 무방함.

그런데 그런 프로그램에 결함이 발생함

심플 요약하면 로그를 기록할 때 특정 코드를 넣게 하면

필요한 값을 뽑아낼 수 있음

예를 들어 공고가 log4j를 쓴다고 하면

지금 쓰고 있는 글에 그런 코드를 집어넣고 글쓰기를 누르면

원하는 값이 뙇 하고 튀어나오는식. 물론 공고는 php라 그럴리는 없겠지만

여하튼 업계에서 이례적으로

쥰내 위험하니까 닥치고 조치하셈 이라는 이야기를 주말에 뿌려서

log4j를 쓰는 대부분의 백엔드 부서들이 주말내내 고통받았다고 이야기를 들음.

근데 재미있는건

대한민국에서 전자정부프레임워크 라는 개념을 처음 시행한게 2010년대 초반 즈음인데

그 시기에 도입해놓고 아직까지 차세대 업그레이드를 안한 부서가 다수임

당시의 log4j는 1버전대이고 현재 이슈가 된건 2버전인데

어? 우리는 해당버전이 아니라서 상관없다는데요? 라는 식으로 대처하는 부서가 많다는거임

1버전은 너무 구버전이라 지원이 중단된지 오래이고

그렇기 때문에 지금 유행하는 결함이 문제가 아니라 다른 결함들에 대처를 못하는 문제가 있다보니

그게 또 문제

게다가 업데이트 권고 버전은 2.15.0 버전인데

해당 버전으로 업그레이드 할려면 서버에 자바가 8버전 이상이어야 되지만

8버전 깔리지 않은 서버가 훨 많은 시대이고

log4j를 1에서 2로 바로 업그레이드 할 경우 서버 환경에 따라 오류가 발생할 수도 있거니와

설령 어떻게든 업그레이드 한다해도 오류없이 업그레이드가 될거라는 보장이 없다보니

여러모로 골때리는 상황.