인터넷 서버용 소프트웨어 '로그4j(log4j)'에서 심각한 해킹을 야기할 수 있는 취약점 발견으로 해킹 위험이 고조되는 가운데 정부가 이동통신사업자 등 피해가 심각할 수 있는 민간사업자 현황 파악에 우선 착수했다.
12일 과학기술정보통신부는 이동통신사업자, 인터넷 서비스 사업자(ISP) 등 대형 개인정보 보유 사업자와 로그4j 관련 대응에 나섰다.
과기정통부는 로그4j가 오픈소스로 보급돼 사용·피해 현황을 당장 파악하기 어렵다고 판단, 개인 및 민감정보를 대량으로 취급하는 이통사, ISP 등을 중심으로 상황 파악 및 피해 차단에 주력하고 있다.
과기정통부 관계자는 “로그4j가 오픈소스로 공급돼 정확한 사용 및 피해 현황을 신속하게 파악하는 데 한계가 있다”며 “관련 협단체와 현황 파악을 진행하는 동시에 피해가 클 수 있는 민간사업자는 중심으로 보안조치를 우선 진행하고 있다”고 설명했다.
로그4j는 오픈소스 로깅 라이브러리다. 로깅은 서버·프로그램 등의 유지 관리를 목적으로 동작 상태를 기록으로 남기는 작업을 말한다. 현재 밝혀진 로그4j 취약성은 10점 기준으로 10점이다. 사실상 거의 모든 서버가 이 라이브러리를 사용하고 있어 사상 최악의 보안 취약점 사례라는 분석이다.
해커가 이 취약점을 공격하면 목표 대상 컴퓨터의 모든 권한을 취득할 수 있다. 비밀번호도 없이 서버를 통해 내부망에 접근해 데이터 약탈, 악성 프로그램 실행, 자료 삭제 등을 할 수도 있다. 취약점은 온라인게임 '마인크래프트'에서 처음 확인됐다.
현재로서는 로그4j 사용 여부 확인 및 보안패치 설치가 유일한 대응책이다. 이와 관련, 국산 오픈소스 취약점 점검 솔루션 개발사 아이오티큐브가 'Log4Shell' 취약점 점검 서비스를 무료 배포하는 등 대응을 돕고 있다. 아이오티큐브는 자사 래브라도 OSS를 통해 코드 레벨 분석 기반의 정확한 SBOM 도출 및 취약점 탐지가 가능하다고 밝혔다.
김진석 아이오티큐브 대표는 “래브라도 코드레벨 분석을 통해 비전문가도 스캐너만 실행하면 정확하고 쉽게 원격 코드 취약점(CVE-2021-44228)이 발견된 'Log4Shell' 취약점이 존재하는 프로젝트를 탐지한다”며 “업데이트 안내를 통해 취약점을 해결할 수 있다”고 설명했다.
최호기자 snoop@etnews.com
