![전 세계 인터넷 서버에서 광범위하게 사용되는 ‘아파치 로그4j’와 관련한 보안 취약점이 드러났다. [사진 pxfuel]](https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202112/12/7d54a176-21e1-4e40-9257-b5061eb51713.jpg)
전 세계 인터넷 서버에서 광범위하게 사용되는 ‘아파치 로그4j’와 관련한 보안 취약점이 드러났다. [사진 pxfuel]
전 세계 인터넷 서버에서 광범위하게 사용하는 ‘아파치 로그4j(Apache Log4j)’에서 보안 취약점이 발견된 것과 관련해 정부가 기업들에 소프트웨어 긴급 보안 업데이트를 권고했다. 해커들이 취약점을 공격하면 비밀번호 없이 서버를 통해 내부망에 접속할 수 있기 때문에 최신 버전으로 업그레이드하고, 보호 조치를 실행해야 한다는 설명이다.
과기부 “즉시 보안 업데이트 조치해야”
과학기술정보통신부는 12일 이 같은 권고사항을 발표하며 “주요 기반시설과 최고정보보호책임자(CISO), 정보보호관리체계(ISMS) 인증기업, 인터넷데이터센터(IDC) 등에 즉각적인 조치를 시행하라고 당부했다”고 밝혔다.
과기정통부 관계자는 “업데이트를 하지 않으면 취약점을 악용해 공격자가 원격으로 공격 코드를 실행시켜 심각한 피해를 볼 수 있다”며 “신속한 조치가 필요한 상황”이라고 말했다. 해커의 공격이 시작됐을 때 막을 수 있는 수단이 없는 ‘제로데이(0-day) 취약점’에 대비해야 한다는 설명이다. 이번에 발견된 취약점에는 ‘로그포쉘(log4shell)’이라는 이름이 붙여졌다.
과기정통부가 권유한 소프트웨어 업데이트는 한국인터넷진흥원(KISA)이 운영하는 ‘보호나라’에 안내돼 있다. 보호나라 홈페이지에 접속해 자료실 보안공지란에서 ‘1614번 공지사항’을 확인하면 된다. 오픈소스 프로젝트를 지원하는 비영리 단체인 아파치소프트웨어재단 홈페이지를 통해 최신 버전(2.15.0)으로 업데이트하는 것도 필요하다.
“실제 공격 발생 시 피해 규모 예측 불가”
로그4j는 기업 홈페이지 등 인터넷 서비스를 운영하고 관리할 목적으로 로그 기록을 남기기 위해 사용하는 프로그램이다. 무상 공개된 오픈소스여서 애플·아마존·트위터 등 대부분 정보기술(IT) 회사 뿐 아니라 웹사이트를 운영하는 기업과 정부기관 등에서 사용하고 있다. 이에 아파치재단은 로그4j에서 발견된 취약점의 보안 위협 수준을 1∼10단계 중 최고인 10단계로 평가하며 ‘매우 심각한 수준의 취약점’이라고 발표했다.
![온라인게임 마인크래프트. [AP=연합뉴스]](https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202112/12/361e475f-3818-4709-a940-f6b40d1eb096.jpg)
온라인게임 마인크래프트. [AP=연합뉴스]
이번 이슈는 지난달 24일 알리바바 클라우드 보안팀에 의해 최초 보고됐으나, 컴퓨터 코딩 언어의 일종인 자바(java) 언어로 개발된 온라인 게임 ‘마인크래프트’에서 취약점이 발견되면서 수면 위로 떠올랐다. 프로그래밍 코드로 이뤄진 특정 채팅 메시지를 입력하면 대상 컴퓨터에서 원격으로 프로그램을 실행시킬 수 있는 현상이 관찰된 것이다. 마인크래프트를 보유하고 있는 마이크로소프트(MS)는 즉시 업데이트를 개발해 적용한 다음 “업데이트를 적용한 고객들은 보호받을 수 있다”고 공지했다.
현존하는 대부분의 인터넷 서버에 심각한 영향을 미칠 수 있다는 점에서 “컴퓨터 역사상 최악의 취약점이 발견됐다”는 견해도 나왔다. 보안기업 ‘테너블’의 아밋 요란 대표는 이를 두고 “지난 10년간 가장 크고 가장 치명적인 단일 취약점이 될 것”이라며 “아마 현대 컴퓨팅 역사상 가장 큰 취약점이 될 것이다”고 주장했다. 해커들이 보유하고 있는 수많은 ‘제로데이 취약점’ 중 하나가 드러난 것인데, 널리 쓰이는 프로그램에서 취약점이 발견됐기 때문에 실제 공격이 발생했을 때 피해가 걷잡을 수 없을 만큼 커질 수 있기 때문이다.
“취약점 늘 존재…능동적으로 찾아내야”
다만 제로데이 취약점은 늘 존재하기 때문에 피해가 발생하기 전 이를 먼저 찾아내는 게 중요하다는 분석도 있다. 실제 지난 3월 MS의 이메일·메시지 플랫폼인 익스체인지 서버가 해킹당해 미국 내 다수 기관이 피해를 봤다. 정기적으로 보안 취약점을 점검해 패치를 발표하는 MS도 실제 해킹 피해를 보기도 하고 보안 점검 때마다 다수의 제로데이 취약점을 발견한다는 것이다.
임종인 고려대 정보보호대학원 교수는 “현재의 해결 방법은 로그포쉘에만 적용되는 것이고, 로그포쉘 외에도 알려지지 않은 제로데이 취약점이 수없이 많다”며 “보안은 ‘다이내믹 게임’이라고 불리는데, 능동적으로 취약점을 찾아내지 않으면 디지털 전환에 대한 리스크가 점점 커질 것”이라고 말했다.
한편 정보기관은 국내에서는 아직 해킹 피해가 보고되지 않은 것으로 파악하고 있다. 국정원은 지난 11일 “전날 자정부터 사태 파악 및 보안 패치 안내를 하고 있는데 현재까지 국가·공공기관 대상 관련 해킹 피해 사례는 없는 것으로 확인됐다”고 말했다.
