전 세계 뒤흔든 '로그4j', ICT업계 보안 '빨간불'

"컴퓨터 역사상 최악의 취약점이 발견됐다."

최근 인터넷 서버용 소프트웨어 '아파치 로그4j(Apache Log4j) 2'에서 심각한 보안 취약점이 발견되면서 전 세계가 발칵 뒤집혔다. 로그4j를 이용하는 글로벌 정보통신기술(ICT) 업계는 물론, 국내 기업들의 보안 관리에 빨간불이 켜졌다.

16일 보안 업계에 따르면 로그4j는 아파치 소프트웨어재단이 개발한 자바(Java) 기반 인터넷 서버용 소프트웨어로, 컴퓨터 사용 기록을 저장하는 로깅 프로그램이다. 무료로 제공되는 오픈소스라는 점에서 구글, 애플, 아마존, 트위터 등 글로벌 ICT 업계를 중심으로 광범위하게 해당 프로그램을 이용 중이다.

로그4j의 문제는 지난달 24일 알리바바클라우드 보안팀이 아파치재단에 공식적으로 보고하면서 시작됐다. 이후 마이크로소프트(MS)의 온라인게임 '마인크래프트'에서 취약점이 발견됐으며 오픈소스 코드 저장소 깃허브에 공개되면서 세간에 알려졌다.

깃허브에 따르면 해커가 로그4j의 원격 코드 실행 취약점을 공격할 경우 컴퓨터의 모든 권한을 취득할 수 있게 된다. 원격으로 서버 내부망에 접근해 악성코드를 몰래 심거나 원하는 정보를 유출하고, 중요 데이터를 마음대로 삭제할 수 있다. 마인크래프트의 경우 프로그래밍 코드로 이뤄진 특정 채팅 메시지를 입력하면 원격으로 프로그램 실행이 가능한 취약점이 드러났다. 

아파치소프트웨어재단은 로그4j 취약점의 보안 위협 수준을 1∼10단계 중 최고 등급인 '10단계'에 해당한다고 평가했다. 기업은 물론 정부 기관까지 피해를 입을 수 있는 점에서다. 이미 국내에서는 일부 금융사가 해킹 공격에 노출된 것으로 알려지면서 보안에 빨간불이 켜진 상황이다.

정부는 보안패치를 긴급 배포하고, 피해 현황 파악에 들어갔다. 국가정보원에 따르면 현재까지 로그4j 관련 국가·공공기관 대상 해킹 피해 사례는 없는 것으로 확인됐다. 과학기술정보통신부와 한국인터넷진흥원(KISA)은 ▲ISMS 인증기업(758개사) ▲CISO(2만3835명) ▲C-TAS(328개사) ▲클라우드 보안인증 기업(36개사) ▲웹호스팅사(477개사) ▲IDC (16곳) 등 서버를 사용하고 있는 기업들에게 보안패치 업데이트를 당부하고 나섰다.

과학기술정보통신부는 개인정보를 대량으로 보유하고 있는 이동통신사와 인터넷 서비스 사업자(ISP) 등을 중심으로 긴급 점검에 착수했다. LG CNS의 경우 로그4j에 고객사들이 대응할 수 있도록 지원하는 헬프데스크를 오픈하고, 비상 근무체제에 돌입했다. 

보안 업체 텐에이블의 아밋 요란 최고경영자(CEO)는 "(로그4j는) 현대 컴퓨터 역사를 통틀어 최악의 보안 결함일 수도 있다"며 "이미 서버가 공격당한 것으로 가정하고 최대한 조치를 서둘러야 한다"고 강조했다.