[기고]log4j 안심할 때 아니다

log4j 취약점 발표 이후 아직까지 피해사례가 확인되지 않는다고 하지만 안심할 수 없다. log4j 취약점 패치를 적용하고 점검도 마친 기업도 당분간 주의 모니터링이 필요한 상황이다. 해커가 이번에 발견된 취약점이 아니라 새로운 취약점을 악용한 공격을 시도할 수 있기 때문이다.

코로나19 변종 바이러스가 계속 나타나듯 log4j 취약점의 신규 패턴이 다수 발견되고 있는 만큼 관련 사항을 지속 확인하며 전반적 보안 체계 점검과 보안 수칙 준수가 필요하다.

문제는 대기업과 달리 중소기업이나 개인사업자 등은 상대적으로 대응 여력이 부족하다는 점이다. 무엇보다 기본 대응에 우선 충실해야 한다. log4j 취약점에 대비하기 위해 log4j를 사용하는지를 파악한 후 빠르게 보안 패치를 적용해야 한다. 보안 패치를 적용했더라도 적용하기 이전에 공격이 이뤄졌을 수도 있기 때문에 점검 툴을 활용, 실제 공격이 이뤄졌는지 점검해야 한다. 대응이 어렵다면 보안 기업에서 제공하는 서비스를 활용하는 것도 방법이다.

SK쉴더스 인포섹 Top-CERT는 보안 담당자가 없거나 보안 대응 여력이 부족한 중소기업 등에서도 손쉽고 빠르게 점검할 수 있는 log4j 점검 툴을 무료로 공개했다. 또 올해 초부터 원격코드실행 취약점 진단방법과 대응방안을 공개하고 있다.

원격코드실행 취약점은 해커가 보안 취약점을 악용해 원격에서 사용자의 시스템과 네트워크에 접속해서 악성코드를 실행, 해킹 위험도가 매우 높다. 이번에 발견된 log4j 취약점도 원격코드실행 취약점으로, 해커가 원격으로 기업의 중앙 서버의 권한까지 탈취할 수 있어 기업의 철저한 대비가 요구된다.

무료로 공개된 점검 툴과 취약점 스캐닝 도구 등을 활용, 보안 체계를 점검해야 한다. 이 밖에도 사용하고 있는 백신이나 방화벽 등을 최신 버전으로 업데이트하는 기본적인 보안 수칙 준수가 요구된다.

보안에 100%는 없다. 이렇게 대응해도 사각지대는 있기 마련이다. 현재 보유하고 있는 자산을 정확히 파악하지 못해서 사각지대가 발생하는 경우가 많다. log4j에 제대로 대응하려면 먼저 우리가 보유하고 있는 자산이 무엇인지부터 신속·정확하게 파악하는 작업이 우선돼야 한다. 해킹 여부를 확인하는 작업은 다음 단계다. 여기서 발생하는 문제가 바로 자산의 주체가 모호한 경우다. 예를 들어 함께 일하는 협력업체의 자산 같은 경우다. 이런 경우에는 협력업체에 관련 내용을 전달해서 확인을 요청하거나 직접 자산 유형을 파악해야 하고, 이후 검증된 분석 툴로 해킹 여부를 판단해야 한다. 또한 미관리 영역에 포함될 수 있는 유휴서버, 개발/운영 테스트서버의 자산도 꼼꼼히 파악하는 등 log4j 취약점 현황을 정확히 점검해야 한다. SK쉴더스 인포섹 Top-CERT팀에서 다수의 사고를 분석해 보니 해킹사고는 자산 경계가 모호한 영역에서 가장 많이 발생하는 것으로 분석됐다.

로그를 남기기 위해 java를 사용하는 모든 장비도 점검 대상이라는 점을 강조하고 싶다.

현재 우리가 보유한 자산과 운영하고 있는 서버를 점검하는 것은 기본이며, 자산 경계가 모호한 영역에 대해서는 다른 누구에게 떠넘기기보다 책임감을 발휘해서 모든 장비를 점검하는 등 해킹사고를 미연에 방지하는 것이 중요하다. 또한 1차적으로 취약점 현황 점검 및 패치 실행이 가장 중요하지만 이에 그치지 않고 패치 전후 log4j를 통해 실제 해킹 공격이 이뤄졌는지까지도 반드시 점검해야 한다.

log4j 취약점 발표를 계기로 기업 보안 담당자는 '해킹 공격을 완벽하게 탐지해 내는 보안 솔루션은 없다'라는 사실을 사전에 의식하는 것이 필요하다. 또한 기업 시스템 대상으로 주기적인 해킹 흔적 탐지와 점검을 통해 잠재적인 보안 위협에 대비하는 것이 요구된다. 해킹 기술은 나날이 발전하면서 우리의 일상과 안전을 위협하고 있다. 원천적인 해킹 시도에 대한 예방 조치를 하는 것과 더불어 주기적인 보안 체계 점검을 통해 고도화하고 있는 해킹 공격에 대비해야 한다.

김병무 SK쉴더스 클라우드사업본부장 mania@sk.com