［뉴시안= 조현선 기자］인터넷 서버용 소프트웨어인 '로그(Log)4j 2'에서 치명적인 취약점(CVE-2021-44228)이 발견되면서 전세계가 비상에 걸렸다. 국내에서는 피해 사례가 발견되지 않았으나, 정부는 해당 사안의 심각성을 고려해 국내 은행·이동통신3사 등을 대상으로 선제적 대응에 나섰다.

13일 업계에 따르면 과학기술정보통신부는 전세계 인터넷 서버에서 광범위하게 사용 중인 '아파치 로그4j(Apache Log4j)'에서 보안 취약점을 발견, 관련 기업 등에 소프트웨어의 긴급 보안 업데이트 등을 통한 보호 조치를 권고했다.

'자바' 기반의 오픈소스 로깅 라이브러리 로그4j는 기업 홈페이지 등 인터넷 서비스를 운영하고, 관리할 목적으로 로그 기록을 남기기 위해 개발됐다. 무상 공개된 오픈소스 특성상 애플·아마존·트위터 등 글로벌 IT 회사를 포함, 웹사이트를 운영하는 기업과 정부기관 등에서 두루 쓰고 있다. 사상 최악의 보안 취약점이라는 분석이 나오는 배경이다. 

아파치재단은 로그4j에서 발견된 취약점의 보안 위협 수준을 1~10단계 중 최고 수준인 10단계로 평가한 바 있다.  

밝혀진 바에 따르면 해커가 해당 취약점을 공격하면 비밀번호가 없어도 목표가 된 대상의 컴퓨터 내 모든 권한을 취득할 수 있다. 이를 통해 내부망에 접속, 데이터 약탈과 악성 프로그램 설치 등을 할 수 있다. 최악의 경우 기업 서버가 완전 마비되는 상태도 나타날 수 있다. 

그러나 정부는 다행히 이번 취약점이 업데이트 등을 통해 해결할 수 있다고 보고, 주요 기반 시설과 최고정보보호책임자(CISO), 정보보호관리체계(ISMS) 인증기업, 인터넷데이터센터(IDC) 등에 즉각적인 조치를 시행할 것을 당부했다. 해커의 공격이 시작됐을 때 막을 수 있는 수단이 없는 '제로데이(0-day) 취약점’에 대비해야 한다는 설명이다. 

또 한국인터넷진흥원(KSIA)이 운영하는 '보호나라'에 안내돼 있는 소프트웨어 업데이트를 권유했다. 관련 사고를 막기 위해서는 보호나라 홈페이지에 접속, 자료실 보안공지란의 1614번 공지사항을 확인하면 된다. 이와 별개로 오픈소스 프로젝트를 지원하는 비영리단체 '아파치소프트웨어재단' 홈페이지를 통해 최신 버전(2.15.0)으로의 업데이트도 병행해야 한다. 

한편 이번 이슈는 지난달 24일 알리바바 클라우드 보안팀에 의해 최초로 보고된 데 이어 온라인 게임 '마인크래프트'에서의 취약점이 발견되면서 수면 위로 떠올랐다. 마인크래프트의 운영사인 마이크로소프트(MS)는 즉시 업데이트를 제공, 적용 시 문제가 없다고 밝혔다. 현재 아마존닷컴과 트위터 등 글로벌 IT 대기업들은 보안 경보를 발령, 새 업데이트 등의 조치를 진행하고 있다.

앞서 아파치재단은 로그4j에서 발견된 취약점의 보안 위협 수준을 1~10단계 중 최고 수준인 10단계로 평가한 바 있다.