미국 오픈소스 비영리재단인 아파치소프트웨어가 로그4j 취약점에 대해 발빠르게 대응에 나서고 있습니다. 

아파치 재단이 제작한 로그4j는 인터넷 서비스의 운영 및 관리에 필요한 접속(로그) 기록을 남기는데 사용하는 프로그램입니다. 프로그래밍 언어 자바(JAVA) 기반의 오픈소스 유틸리티로 정보기술(IT) 기업과 정부기관 등에 널리 사용됐습니다. 하지만 최근 보안 취약점이 노출되면서 로그4j는 10년간 가장 심각한 5대 사이버 보안 취약점 중 하나로 거론되고 있습니다.

외신에 따르면, 아파치 재단은 로그4j의 새로운 취약점에 대응하기 위해 2.17 버전을 배포했습니다. '로그4셸'이라 불리는 첫 취약점이 발견돼 배포했던 2.15 버전을 포함해 세번째입니다. 아파치 재단은 2.15 버전 배포 후 2.16 패치를 내놓았습니다. 이후 CVE-2021-45105로 불리는 새로운 취약점이 추가 발견됐고 이에 대해 2.17 버전으로 대응한 것입니다. 

아파치 재단은 "2.16 버전은 룩업 평가에서 항상 무한 재귀로부터 보호하는 것은 아니다"라며 "서비스 거부 취약점인 CVE-2021-45105에 취약하다"고 말했습니다. 아파치 재단은 새롭게 발견된 취약점에 취약점 등급 시스템(CVSS) 점수 7.5를 부여했습니다. 아파치 재단은 미국 클라우드 컴퓨팅 전문 기업 아카마이의 구성원 히데키 오카모토와 익명의 연구자들이 이번 새로운 취약점을 발견했다고 밝혔습니다. 

한편 전세계적으로 사이버 공격시도가 최근 300배 이상 증가했습니다. 로그4j의 보안 취약점의 노출과 관련 있다는 것이 업계의 관측입니다. 케빈 리드 아크로니스 정보보호최고책임자(CISO)는 지난 19일 "12월 10일 이전에는 사이버 공격시도가 한 자릿수로 탐지됐다”면서 “하지만 주말 동안 전세계적으로 300배 증가했다"고 알렸습니다.

칸디드 뷔스트 아크로니스 부사장은 "로그4j의 취약점이 며칠동안 노출돼 있었던 것을 감안해 각 기업과 기관의 보안 담당자는 백도어 설치 여부를 분석해야 한다"고 말했습니다. 백도어는 컴퓨터 기능을 무단으로 사용할 수 있는 악성코드를 의미합니다. 

모쪼록 로그4j의 사이버 보안 취약점이 완전히 해결되기를 바랄 뿐입니다.

자료=미디어뱀부
정리=김현기 기자 khk@techm.kr