과기부 ‘로그4j 2’ 업데이트 당부
최고등급 10단계 수준 보안 위협
미 조치땐 악성코드 감염 등 심각
전 세계 수백만개 이상의 인터넷 서버에서 광범위하게 사용되는 소프트웨어인 아파치 '로그(Log)4j 2'에서 치명적 보안 취약점이 발견돼 전세계가 비상이 걸렸다.
최고등급 10단계 수준 보안 위협
미 조치땐 악성코드 감염 등 심각
로그(Log)4j 2는 인터넷 서버 등의 유지관리를 위한 동작 상태를 기록하는 로깅 프로그램이다. 무상 공개된 오픈소스여서 애플 아마존 트위터 등 대부분 정보기술(IT)회사에서 사용해왔다. 만약 해커들이 이번에 발견된 보안 취약점을 악용하면 원격으로 서버 내부 데이터를 삭제하거나 훔칠 수 있고, 악성코드 실행도 가능한 것으로 알려졌다.
■"치명적 수준 보안 위협"
12일 과학기술정보통신부는 '아파치 로그4j 2' 서비스에 대한 보안취약점이 발견됨에 따라 긴급 보안 업데이트를 권고했다.
로그(Log)4j란 아파치 소프트웨어 재단이 개발한 자바로깅 프레임 워크로, 기업 홈페이지 등 인터넷 서비스 운영-관리 목적의 로그 기록을 남기기위해 사용된다.
이번 취약점은 온라인게임 '마인크래프트'에서 처음 확인됐다. 자바 언어로 개발된 마인크래프트 버전에서 프로그래밍 코드로 이뤄진 특정 채팅 메시지를 입력하면, 대상 컴퓨터에서 원격으로 프로그램을 실행시킬 수 있는 것으로 나타났다. 마인크래프트 개발사인 마이크로소프트(MS)는 즉시 업데이트를 적용하고 '업데이트를 적용했다.
문제는 게임사 뿐만 아니라 애플, 아마존 등 국내외 IT기업 뿐만 아니라 웹사이트 운영기업, 정부기관까지 해당 SW를 사용하고 있다는 점이다.
아파치소프트웨어재단은 이 취약점의 보안 위협 수준을 1∼10단계 중 최고 등급인 '10단계'라며 '매우 심각한 수준의 취약점' 이라고 발표했다.
사이버 보안 업체 크라우드스트라이크의 애덤 메이어스 전무는 "서버 관리자들은 패치를 서두르고 있고, 해커들은 취약점 공격을 시도하고 있다"며 "이미 이 취약점이 '무기화'됐다"고 우려했다.
■정부 "긴급 보안 업데이트"
국가 기관 및 국내 기업에도 비상이 걸렸다. 과기정통부는 이날 긴급 자료 배포를 통해 "관련 취약점을 공격자가 악용할 경우 악성코드 감염 등의 피해를 발생 시킬 수 있다"며 "한국인터넷진흥원 보호나라 보안공지에 따라 긴급하게 보안조치를 해달라"고 당부했다.
과기정통부는 한국인터넷진흥원의 보호나라 누리집을 통해 △국가기반시설 △웹호스팅 회사 477곳 △정보보호 관리체계 인증기업 758곳 △각 기업 정보보호 최고책임자(CISO) 2만3835명 등에는 Log4j 2의 취약점을 전파하고 즉각적인 조처를 권고한 상태다.
한편, 국내에서 해킹피해는 아직 발생하지 않은 것으로 나타났다. 국가정보원은 "11일 오전 0시 실태 파악, 정보공유, 보안패치 안내 등 선제적 조치를 했다"며 "현재까지는 국가·공공기관 대상 관련 해킹 피해 사례는 없는 것으로 파악했다"고 밝혔다.
spring@fnnews.com 이보미 김만기 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지