전 세계 인터넷 서버 개발에 주로 사용되는 소프트웨어(SW) '로그(Log)4j 2'에서 취약점(CVE-2021-44228) '로그4쉘(Log4shell)'이 발견돼 정보기술(IT) 업계가 비상에 걸렸다.

전문가들은 이번 사태에 대해 '현대 컴퓨팅 역사상 가장 큰 취약점'이라고 평가했다. 정부는 이번 취약점에 대한 긴급 보안 업데이트를 권고하며 아직까지 국내 피해사례는 없다고 밝혔다. 하지만 시급히 보호조치를 취하지 않는다면 언제든 피해가 발생할 수 있다는 지적이다.

로그4j 2와 로그4쉘은 무엇

로그4j 2는 '아파치 소프트웨어 재단'에서 개발한 프로그램이다. 기업 홈페이지 등 인터넷 서비스 운영·관리 목적으로 로그 기록을 남기기 위해 사용한다. 

로그 기록은 인터넷 사용자가 특정 시스템에 접속하기 위해 본인임을 알리고 등록하면서 남는 기록을 말한다. 누가, 언제, 어떻게 시스템에 접근해 어떤 작업을 수행했는지 컴퓨터에 자동으로 저장되는 전산 운영 정보다.

이번 취약점은 지난 11월 24일 중국 IT기업 알리바바 클라우드 보안 팀에 의해 최초로 보고됐다. 이후 자바 언어로 개발된 샌드박스 게임 '마인크래프트'에서 발견되며 부각됐다. 운영사인 마이크로소프트는 현재 개선 버전을 배포하고 업데이트를 완료한 상태다.

문제는 기업과 정부기관 등 웹사이트를 운영하는 대다수가 로그4j를 사용하고 있다는 점이다. 누구나 사용 가능한 오픈소스 형태로 애플·아마존 같은 빅테크 기업도 예외는 아니다. 

해커들이 이번 로그4쉘 취약점을 공격하게 되면 관리자 권한을 탈취해 비밀번호도 없이 서버를 통해 내부망에 접근할 수 있게 된다. 이를 통해 데이터를 약탈하거나 악성 프로그램 실행, 자료 삭제 등도 가능한 것으로 밝혀졌다.

프로그램을 개발한 아파치 재단은 이번 취약점에 대한 보안 위협 수준을 최고 단계인 10단계로 평가하며 '매우 심각한 수준의 취약점'이라고 발표했다. 전문가들은 이번 취약점으로 인해 공격자가 암호없이 웹서버에 쉽게 액세스할 수 있어 매우 위험하다고 평가했다.

보안기업 테너블의 아밋 요란 대표는 "지난 10년 동안 가장 크고 치명적인 단일 취약점"이라며 "현대 컴퓨팅 역사상 가장 큰 취약점"이라고 말했다.

과기정통부 "즉시 보안 업데이트 조치 필요"

12일 과학기술정보통신부는 권고사항을 통해 "주요 기반시설과 최고정보보호책임자(CISO), 정보보호관리체계(ISMS) 인증기업, 인터넷데이터센터(IDC) 등에 즉각적인 조치를 시행하라고 당부했다"고 밝혔다.

구체적으로 기반시설, ISMS 인증기업(758개사), CISO(2만3835명, C-TAS(328개사), 클라우드 보안인증 기업(36개사), 웹호스팅사(477개사), IDC (16곳) 등에 상황을 긴급 전파하는 등 해당 서버를 사용하는 기업들에게도 신속한 조치를 강조했다.

과기정통부 관계자는 "공격자가 해당 취약점을 이용해 악성코드 감염 등의 피해를 발생시킬 수 있으므로 최신 버전 업데이트를 권고한다"며 "신속한 조치가 필요한 상황"이라고 말했다.

SW 업데이트는 한국인터넷진흥원(KISA)이 운영하는 '보호나라'에서 진행할 수 있다. 또한 아파치 소프트웨어 재단 홈페이지에서 최신 버전(2.15.0) 업데이트도 진행해야 한다.

국가정보원은 12일 로그4j쉘과 관련한 실태 파악, 정보공유, 보안패치 안내 등 조치를 취하고 긴급 점검 결과를 발표했다. 국정원에 따르면 현재까지 국가·공공기관을 대상으로 한 해킹 피해 사례는 없는 것으로 나타났다.

금융보안원 또한 이날 긴급 점검 회의를 열고 해당 취약점이 금융권에 미치는 영향 등에 대해 분석했다. 금융 보안원은 이번 취약점에 의한 금융권 피해를 사전에 예방하기 위해 상황을 전파하고 금융위원회, 금융감독원 등 금융당국과 정보공유 체계를 유지하고 있다. 아울러 해당 취약점을 탐지할 수 있는 탐지룰을 개발해 배포했다.

김철웅 금융보안원장는 "금융권 및 금융당국과 긴밀하게 협력하고 금융권 공격 시도에 대한 탐지·모니터링을 한층 강화할 것"이라며 "금융권 사고 피해 발생 시 신속하게 조사 대응할 수 있는 지원체계를 갖추고 있다"고 말했다.

정부 더 적극적·능동적으로 나서야

이번 사태를 두고 업계에서는 정부가 사이버 보안에 대해 더 적극적이고 능동적으로 대처해야 한다고 말한다. 디지털 전환이 가속화되며 금융, 공공, 기업, 기반시설, 군 등 사회가 전부 디지털로 연결돼있기 때문에 해킹은 더 이상 단순 정보 탈취가 아닌 국가안보가 무너지는 일이라는 것이다.

또 '제로데이 취약점'은 해커들 사이에서 공유되거나 다크웹에서 거래되는 등 매우 흔한 일이기 때문에 피해가 발생하기전 이를 먼저 찾아내는 게 중요하다는 분석도 있다.

실제로 지난 3월 미국 정부에서 광범위하게 쓰이는 이메일 서버 '마이크로소프트 익스체인지 서버'가 해킹 공격을 받아 다수 기관이 피해를 보기도 했다. 정기적으로 보안 취약점을 점검하고 업데이트를 진행하는 마이크로소프트도 매번 다수의 제로데이 취약점을 발견하고 있다는 것이다.

임종인 고려대학교 정보보호대학원 교수는 "해킹은 공격자가 수비자보다 유리한 게임이기 때문에 국가 차원에서 실력있는 화이트해커를 양성하고 사이버 위협을 사전에 정찰하는 등 전체적 역량을 끌어올려야 한다"며 "정부의 패러다임 시프트가 필요하다"고 강조했다.

김가은 기자 7rsilver@techm.kr