상당수 기업 등에서 사용하는 공개 소프트웨어(SW) '로그4j(Log4j)'가 보안에 취약한 점이 드러나 세계적으로 파장이 커지고 있다. 보안 업계에선 이번 문제가 최고 수준 보안 위협에 해당한다며 경고에 나서기도 했다.
국내에서도 정부의 선제 대응이 필요하다는 목소리가 나왔다. 아직 피해 사례는 없지만 이번 사태가 길어질 가능성을 고려해 인력 강화 등으로 대응해야 한다는 주장이다.
정보통신기획평가원은 최근 발표한 보고서(ICT Brief)를 통해 소프트웨어 로그4j의 보안상 허점을 이용한 공격으로 큰 피해가 예상된다고 밝혔다. 현재 로그4j는 애플, 아마존, 트위터 등 많은 기업과 국가기관에서 사용 중이다.
로그4j는 인터넷 서비스를 운영할 때 사용하는 소프트웨어다. 이용자 관리를 위해 서비스에 접속한 기록을 저장하는 기능을 한다. 하지만 올해 11월 로그4j를 통해 다른 컴퓨터에 접근하는 방법이 게임 '마인크래프트'에서 발견되며 이를 악용한 공격이 빠르게 늘고 있다.
처음엔 게임 채팅창에 프로그래밍 언어를 입력해 다른 컴퓨터에 접근하는 수준이었지만, 이후 서버 내부망에 접근해 데이터를 빼내고 악성코드를 주입하는 등 피해 규모가 커졌다. 보안 패치를 깔아도 서버 접근에 접근할 수 있는 '백도어'를 설치하는 사례까지 나왔다.
특히 로그4j를 사용하지 않는 서버도 해킹할 수 있어 피해가 우려된다. 이용자 관리 기능을 제공하는 소프트웨어 중 상당수가 로그4j를 기반으로 만들어져 유사한 보안 취약점을 지녔기 때문이다.
보안 기업 체크포인트는 최근 24시간 동안 로그4j를 통해 10만번이 넘는 공격이 발견됐다고 발표했다. 보안 회사 소포스는 같은 방법으로 아마존웹서비스 보안 키를 유출하려는 시도를 찾아냈다.
로그4j 개발 재단은 이번 사태가 보안 위협 등급 중 가장 높은 ‘10단계’에 해당한다며 경고했다. 보고서 역시 "이를 이용해 정부 기관과 기업, 금융사를 공격해 모든 권한을 취득할 수 있는 만큼 심각한 해킹 위험에 노출된 상황"이라고 설명했다.
국정원에 따르면 현재까지 로그4j를 통해 국내 공공기관 등이 해킹당한 사례는 없다. 하지만 해킹사이트에 로그4j 공격이 쉬운 ‘서버 리스트’가 공유되고 있어 추가 피해가 예상된다.
이러자 정부 차원에서 빨리 조치해야 한다는 목소리도 나온다. 보고서는 "우리 정부도 긴급 보안패치를 권고하며 대응에 나선 만큼, 정부·기업이 함께 체계적인 대책을 마련하고 전문 인력을 보강하는 등 선제적인 대응 강화에 나서야 한다"고 주장했다.
이어 "기존 인력 교육 강화, 처우개선은 물론 인프라 점검, 전문인력 양성 등 국가 차원에서 지원과 투자를 확대해 상시 대응 체계를 마련해야 한다"고 강조했다.
