[아이뉴스24 김혜경 기자] 지난해 12월 오픈소스 프로그램 '로그4j(Log4j)'의 보안 취약점이 발견되면서 전 세계가 충격에 빠진 가운데 올해도 대응책 마련에 분주하다. 다만 해외와 비교했을 때 국내에서는 아직까지 알려진 피해가 없다는 점과 보안 패치 적용 등의 이유로 물밑에서 이번 사태를 예의주시하는 모양새다.
![서버 해킹 이미지 [사진=픽사베이]](https://image.inews24.com/v1/7b39ee88e27b46.jpg)
6일 보안업계에 따르면 미국 정부는 지난달 백약관에서 국방부, 국토안보부 산하 사이버보안‧인프라 안보국(CISA)을 비롯해 아파치(Apache) 재단, 구글, 애플, 아마존, 마이크로소프트(MS) 등 주요 IT기업 관계자와 함께 로그4j 및 기타 잠재적인 취약점에 대해 논의했다. 이 자리에서 미국 정부는 소프트웨어(SW) 보안과 SW 공급망(개발에서 유지관리까지 전 과정) 투명성을 개선할 필요가 있다고 강조했다.
로그4j는 아파치재단이 지원‧관리하는 자바(Java) 기반 오픈소스 로깅 라이브러리로, 서버‧프로그램 유지 관리 과정에서 발생하는 모든 기록을 관리할 수 있다. 해커들이 로그4j에서 발견된 취약점을 공격한다면 비밀번호도 없이 내부망에 접근해 데이터를 약탈하거나 악성코드를 심을 수 있다.
로그4j 취약점이 발견되면서 전 세계가 비상이 걸린 이유는 오픈소스라는 특성상 대다수 기업이 직간접적으로 사용하고 있기 때문이다. 아파치재단은 취약점의 보안 위협 수준을 최고 등급인 10단계로 평가했고 MS는 중국, 북한 정부와 연계된 해커들이 로그4j 결함을 이용하고 있다고 경고한 바 있다.
과학기술정보통신부는 지난해 말 발표한 '2022년 사이버위협 전망 보고서'를 통해 로그4j 취약점을 올해 주의해야 할 보안 위협 중 하나로 꼽았다. 과기정통부는 취약점 문제가 광범위하고 식별이 쉽지 않다고 분석했다.
특히 자바 프로그램 특성상 압축파일 내 또 다른 파일 등 여러단계로 구성돼 하위단계에 있는 로그4j 사용 여부를 파악하는데 상당한 시간이 소요될 것으로 예상했다.
앞서 과기정통부가 정보통신, 금융, 의료 등 주요정보통신기반시설 90개 기관‧147개 시설을 대상으로 Log4j 취약점에 대해 긴급점검을 실시한 결과 민간분야 기반시설(147개) 중 30개 시설에서 Log4j 2를 사용하고 있는 것으로 조사됐다.
해외에서는 벨기에 국방부가 해킹 공격을 받는 등 여러 차례 사이버 공격 시도가 있었지만 국내에서는 아직까지 큰 피해가 발견되지 않았다. 취약점이 공개된 이후 보안업계에서는 해킹 여부를 확인할 수 있는 무료 점검 툴을 배포하거나 보안 패치 적용 등 신속한 대응에 나섰다. 올해 들어서는 지속적인 모니터링과 업데이트로 현 상황을 관망하는 분위기다.
업계 한 관계자는 "지난해 로그4j 보안 취약점 공개 이후 대처 방안들이 소개되면서 현재 국내 기업들도 대비하고 있을 것"이라며 "현재까지 보고된 피해 사례는 없는 것으로 알고 있다"고 말했다.
또 다른 업계 관계자는 "보안 패치 적용으로 로그4j 관련 문제들은 어느 정도 해결됐다고 생각한다"며 "그러나 오픈소스 특성상 이와 유사한 보안 문제가 또 다시 발생할 가능성을 배제할 수는 없을 것"이라고 말했다.
/김혜경 기자(hkmind9000@inews24.com)
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기