취약점 산출물 Best Practice
05 도구 챕터에서 생성하는 취약점 분석 산출물 예시입니다.
샘플 프로젝트(java-vulnerable, Log4Shell CVE-2021-44228 포함)를 기준으로 작성된 실제 출력 예시를 확인할 수 있습니다.
cve-report.md
생성 agent:
05-vulnerability-analyst| 저장 경로:output/vulnerability/cve-report.md
리포트 유형: 취약점 분석 생성일: YYYY-MM-DD 대상 프로젝트: your-project 사용 도구: OSV API
1. 요약
- SBOM 분석 대상:
your-project.cdx.json(CycloneDX) - 총 5개 취약점 발견 — 🔴 Critical 2개, 🟠 High 1개, 🟡 Medium 2개
log4j-core 2.14.1에서 즉시 조치 필요 Critical 취약점(CVE-2021-44228, CVE-2021-45046) 확인- 권장 조치:
log4j-core및log4j-api를 2.17.1 이상으로 즉시 업그레이드
2. 취약점 상세
| 컴포넌트 | 버전 | CVE | CVSS | 심각도 | 설명 | 수정 버전 |
|---|---|---|---|---|---|---|
| log4j-core | 2.14.1 | CVE-2021-44228 | 10.0 | 🔴 Critical | Log4Shell: JNDI를 통한 원격 코드 실행(RCE) | 2.15.0+ |
| log4j-core | 2.14.1 | CVE-2021-45046 | 9.0 | 🔴 Critical | 2.15.0 패치 불완전 — 비기본 설정에서 우회 가능 | 2.16.0+ |
| log4j-core | 2.14.1 | CVE-2021-45105 | 7.5 | 🟠 High | Thread Context Map 자기 참조로 인한 DoS | 2.17.0+ |
| log4j-core | 2.14.1 | CVE-2021-44832 | 6.6 | 🟡 Medium | 로깅 설정 수정 권한 보유 시 RCE 가능 | 2.17.1+ |
| log4j-core | 2.14.1 | CVE-2025-68161 | 5.4 | 🟡 Medium | Socket Appender TLS 호스트명 검증 미수행 | 2.25.3+ |
3. 조치사항
즉시 조치 (Critical — 24시간 이내)
log4j-core 2.17.1 이상으로 업그레이드 — 모든 Critical/High 취약점 동시 해소
<!-- pom.xml -->
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>2.17.1</version>
</dependency>
ISO/IEC 18974 §4.3.2 준거 — 알려진 취약점 식별, CVE 위험 점수 평가(CVSS), 취약점 추적 및 상태 관리
remediation-plan.md
생성 agent:
05-vulnerability-analyst| 저장 경로:output/vulnerability/remediation-plan.md
리포트 유형: 취약점 대응 계획 생성일: YYYY-MM-DD 대상 프로젝트: your-project
개요
| 항목 | 내용 |
|---|---|
| 대응 기준 | ISO/IEC 18974 §4.3.2 |
| 총 취약점 수 | 5개 (Critical 2, High 1, Medium 2) |
| 즉시 조치 대상 | CVE-2021-44228, CVE-2021-45046 |
단계별 대응 계획
Phase 1 — 즉시 조치 (Critical, 24시간 이내)
- JndiLookup 클래스 제거 (업그레이드 전 긴급 완화)
- log4j-core 2.17.1로 업그레이드
- 빌드 및 회귀 테스트 실행
- 침해 이력 조사 (로그에서
${jndi:패턴 검색)
Phase 2 — 단기 조치 (High, 7일 이내)
| 작업 | 담당자 | 기한 |
|---|---|---|
| 운영 서버 log4j 버전 전수 조사 | 인프라 담당 | D+2 |
| 전 운영 환경 패치 적용 | 인프라 담당 | D+4 |
| 전체 회귀 테스트 실행 | QA 담당 | D+6 |
| 패치 완료 보고서 작성 | 보안 담당 | D+7 |
Phase 3 — 중기 조치 (Medium, 30일 이내)
| 작업 | 세부 내용 |
|---|---|
| 최신 버전 업그레이드 평가 | API 호환성 확인, 테스트 환경 검증 |
| CI/CD 취약점 스캔 통합 | Trivy 또는 OWASP Dependency-Check 파이프라인 추가 |
| SBOM 자동 생성 연동 | 빌드 시 자동 SBOM 갱신 및 취약점 알림 |
취약점 상태 추적
| CVE | 심각도 | 현재 상태 | 목표 상태 | 담당자 |
|---|---|---|---|---|
| CVE-2021-44228 | 🔴 Critical | 미조치 | 해소 | 보안 담당 |
| CVE-2021-45046 | 🔴 Critical | 미조치 | 해소 | 보안 담당 |
| CVE-2021-45105 | 🟠 High | 미조치 | 해소 | 인프라 담당 |
| CVE-2021-44832 | 🟡 Medium | 미조치 | 해소 | 개발 담당 |
| CVE-2025-68161 | 🟡 Medium | 미조치 | 해소 | 개발 담당 |
상태 갱신 방법: 패치 적용 후 "미조치" → "해소완료 (YYYY-MM-DD)" 로 업데이트
재발 방지 조치
| 주기 | 작업 |
|---|---|
| 매 빌드 시 | CI/CD에서 취약점 자동 스캔 |
| 매월 | SBOM 갱신 및 신규 CVE 확인 |
| 분기 | 의존성 전체 업그레이드 검토 |
| 연간 | 취약점 관리 프로세스 전체 리뷰 |
본 문서는 ISO/IEC 18974 §4.3.2 요구사항 이행을 위해 생성된 공식 취약점 대응 계획서입니다.