[정보통신신문=박남수기자]

거의 모든 인터넷 서버에 널리 쓰이는 소프트웨어에서 치명적인 약점이 발견됨에 따라 민·관이 대책 마련에 분주하다.

‘인터넷 역사를 통틀어 최악의 보안 결함’이라는 평가까지 나오고 있는 로그포제이(로그4j)는 기업 웹사이트 등 인터넷 서비스 운영·관리 목적의 로그기록을 남기기 위해 사용하는 프로그램이다.

초기 대응 결과 아직까지 별다른 피해 사례가 발견되지 않았다. 하지만 해커들이 취약점을 공격하면 비밀번호 없이 서버를 통해 내부망에 접속할 수 있기 때문에 피해를 입지 않기 위해 만반의 준비를 해야 한다.

■로그포제이 취약점 발견

로그4j는 프로그램 개발 유틸리티다. 개발자는 로그4j로 프로그램 작동 기록(로그)을 기록보관소(라이브러리)에 남기도록 하는 기능을 탑재할 수 있다.

최근 외부 침입자가 로그4j를 통해 서버 관리자 권한을 탈취할 수 있는 보안 취약점이 포착됐다.

침입자가 로그4j를 공격해 계정과 비밀번호 입력 없이 서버 관리자 권한을 획득할 수 있는 것이다.

이를 통해 침입자는 서버에 악성코드를 몰래 심거나, 원하는 정보를 유출하고, 중요 데이터를 마음대로 삭제할 수 있다.

로그4j는 온라인 쇼핑몰부터 금융 서비스, 사내 인트라넷에 이르기까지 국내외 시스템에 폭넓게 적용된 것으로 추산된다. 즉각적이고 지속적인 보안 대책이 필요한 이유다.

현재 이 소프트웨어는 무료로 배포되고 있다. 애플과 아마존 등 거대 IT 기업뿐만 아니라 수많은 국내 공공기관과 업체 등도 사용 중이다.

지난달 24일 알리바바 클라우드 보안팀에 의해 최초 보고됐다. 컴퓨터 코딩 언어의 일종인 자바(java) 언어로 개발된 온라인 게임 ‘마인크래프트’에서 취약점이 발견되면서 부각됐다. 프로그래밍 코드로 이뤄진 특정 채팅 메시지를 입력하면 대상 컴퓨터에서 원격으로 프로그램을 실행시킬 수 있는 현상이 관찰된 것이다. 마인크래프트를 보유하고 있는 마이크로소프트(MS)는 즉시 업데이트를 개발해 적용한 다음 “업데이트를 적용한 고객들은 보호받을 수 있다”고 공지했다.

■정부 긴급 대응 나서

이번간담회에는 KISA, NIPA, 한국정보보호최고책임자협의회, 한국공개소프트웨어협회, 한국정보보호산업협회  및 국내 주요기업 CISO가 참여했다.

과기정통부는 본 취약점 대응 관련으로 국민 기본생활 및 경제 안정에 영향을 미칠 수 있는 정보통신, 금융, 의료 등 주요정보통신기반시설(90개 기관, 147개 시설)을 대상으로 12.12(일)부터 아파치 로그4j 2에서 발견된 취약점에 대해 긴급점검을 실시했다.

전체 민간분야 기반시설(147개 시설) 중 30개 시설(20.4%)에서 아파치 로그4j2를 사용하고 있는 것으로 조사되었고 조속한 보안 패치가 완료될 예정이다.

아울러, 과기정통부는 소프트웨어 관련 협회인 공개소프트웨어협회와 한국소프트웨어산업협회를 통해 1만여 개 소프트웨어 기업에 보안 업데이트 필요성을 긴급 공했으며, 2018년부터 기업이 공개 소프트웨어를 활용해 소프트웨어 개발시 보안취약점을 미리 파악할 수 있도록 보안취약점 무료검사 서비스를 제공하고 있다고 밝혔다.

홍진배 과기정통부 정보보호네트워크정책관은 "로그4j 취약점의 영향을 받는 대상이 현재까지는 기업에서 운영하는 인터넷 서비스, SW가 대부분으로 기업들은 정보보호최고책임자(CISO)를 중심으로 신속하게 보안업데이트를 수행하고,일반 국민의 경우는 직접적으로 보안패치를 할 사항은 없으나 평소와 같이 백신프로그램 설치 및 최신 보안업데이트 등 기본적인 정보보호 실천수칙을 잘 지켜 줄 것을 당부했으며, 향후 일반 국민들이 사용하는 프로그램 등에 관련 취약점이 발견될 경우 즉각적인 보안조치 실시 등 국민 피해를 예방할 계획"이라고 밝혔다.

또한, 아파치 로그4j에 새로운 취약점이 계속 발견되어 보안패치된 신규버전(log4j 2.16.0(Java8이상), 2.12.2(Java7) 12.15기준)이 지속적으로 발표되고 있으므로, 관련 사항을 보호나라에 공지하고 있으니 주기적으로 확인하고 대응해줄 것을 특별히 당부했다.

국정원은 "긴급 점검 결과, 현재까지 국가·공공기관 대상 관련 해킹 피해 사례는 없는 것으로 확인됐다"며 "국정원은 피해 예방을 위해 취약점 보안패치 적용 등 보안 대책을 국가사이버위협정보공유시스템(NCTI), 인터넷용정보공유시스템(KCTI)과 사이버안보센터 웹사이트를 통해 안내했다"고 설명했다.

국정원은 향후 유관기관과 협력해 피해 차단에 만전을 기하겠다고 밝혔다.

■국내 기업 선제적 대응 돌입

금융사를 비롯해 국내 IT기업에 대한 해킹 우려가 커지자 국내 보안 기업들도 발빠르게 움직이고 있다.

이스트시큐리티는 이미 취약점이 보고된 지난 10일부터 블로그에 관련 내용을 공지한 상태다. 이스트시큐리티 관계자는 "취약점으로 알려진 악성파일들에 대해 알약 제품에서 탐지 및 치료가 가능한 상태"라고 말했다.

AI 보안 기업 로그프레소는 Log4j 2 취약점 대응을 위한 스캐너를 깃허브에 긴급 배포했다. 로그프레소 관계자는 "현재 한국인터넷진흥원의 보안권고문에서 제시한 ‘JndiLookup.class’ 제거를 통한 임시 패치까지 적용할 수 있다"고 설명했다.

정보 보안 기업 안랩도 Log4j 2 취약점 주의 및 업데이트 권고 내용을 자사 블로그에 게시하면서 주의를 당부했다. 현재 안랩의 TG/IPX, AIPS, HIPS 제품을 통해 취약점 탐지가 가능하다.

LG CNS는 심각한 취약점이 발견된 인터넷 서버용 소프트웨어인 ‘로그4j(log4j)’에 고객사들이 대응할 수 있도록 지원하는 헬프데스크를 14일 오픈했다.

LG CNS는 이미 고객사에 공격자 의심 IP 차단, 로그4j 패치, 웹 애플리케이션 방화벽(WAF) 설정 등 대응 가이드를 배포했다. 로그4j 헬프데스크는 대응 가이드에 대한 상세 설명을 제공하고, 고객 문의사항에 답변한다. 일종의 보안 워룸(War Room)으로서 보안 취약점 보완 대책을 신속 안내하기 위해 긴급 구성했다.

LG CNS는 보안, 클라우드, 아키텍처, 솔루션 등 사내 디지털전환(DX) 전문조직을 총동원한 비상 근무체제에 돌입했다. 보안 전문가는 물론, 개발과 인프라 등 유관 영역 전문가들이 전진 배치됐다. 향후 LG CNS는 로그4j 사태가 국가적 IT 재난으로 확산될 경우, 고객사가 아니더라도 도움이 필요한 기업에 헬프데스크 지원도 검토하고 있다.

LG CNS는 공식 블로그를 통해서도 대응 방안을 업데이트하고 있다.

LG CNS는 올해 화이트해커 조직 ‘레드(RED)팀’을 신설하는 등 보안 역량을 대폭 강화하고 있다．

더존비즈온은 보안 취약점이 알려진 즉시 유지보수 서비스 가입 여부에 관계없이 자사 제품을 사용하는 기업 고객 전체를 대상으로 긴급 업데이트에 나섰다. 유지보수 서비스 가입 고객사의 경우 이미 보안 조치가 완료됐으며, 책임 경영의 일환으로 유지보수 서비스 미가입 고객사에도 개별 연락을 통해 보안 조치가 빠르게 이뤄지고 있다.

특히, 클라우드 SaaS(Software as a Service) 방식으로 제품과 솔루션을 사용 중인 고객사는 향후 유사한 보안 이슈가 발생하더라도 별도 조치 없이 즉각적이고도 지속적인 보안 서비스를 제공받을 수 있어 안심할 수 있다는 설명이다.

더존비즈온은 로그4j 문제가 마무리될 때까지 고객을 보호하고 피해를 예방하기 위해 고객센터를 중심으로 구멍 없는 보안을 위한 선제적 대응에 나설 계획이다.

이번 사례는 소프트웨어 유지보수의 중요성을 알리는 계기가 되고 있다. 그동안은 제품 구매 시 보장되는 하자보수와 달리 별도의 계약을 통해 지원되는 유지보수 서비스에 대한 필요성이 경시돼 온 것이 사실이다. 이번 보안 조치는 사안의 엄중함에 따라 대승적인 차원에서 선제적으로 실행하는 것이나 안정적인 소프트웨어 운용을 위해서는 반드시 유지보수 계약을 맺도록 정부에서도 권고하고 있다.

지용구 더존비즈온 솔루션사업부문 대표는 "대규모 취약점이 발견된 만큼 고객보호 차원에서 선제적 조치를 했다"며 "기업의 디지털 전환을 돕는 선도기업으로서 책임경영을 위해 고객과의 상생이라는 근본 가치를 실행에 옮기겠다"고 말했다.

배민 LG CNS DT(디지털기술)사업부 보안사업담당 상무는 "LG CNS 고객이라면 로그4j 걱정 없이 IT시스템을 운영할 수 있도록 통합 지원책을 선제적으로 제공하고 있다"고 밝혔다.

박남수 기자 다른기사 보기