세계 뒤흔든 보안 취약점, 국내 피해 아직 없지만…"중소기업 주의"

'로그4j' 취약점 관련 국내 피해 사례 신고 "0건"
"사각지대 노린 공격 본격적 시작될 것…사용 여부 확인부터 필요"

입력 : 2021-12-13 오후 2:43:17
[뉴스토마토 배한님 기자] 지난 주말 전 세계를 긴장에 떨게 했던 Log4j(로그4j) 피해가 국내에선 아직 발생하지 않은 것으로 나타났다. 관련 취약점이 발견된 시점부터 정부와 기업의 재빠른 대처로 즉각적인 피해를 막은 것이다. 그러나 중소기업 등 보안 환경이 열악한 곳들을 노린 공격이 조만간 본격적으로 시작될 수 있어 주의가 필요하다는 지적이 나온다. 
 
사진/게티이미지뱅크
 
13일 과학기술정보통신부(과기정통부)와 한국인터넷진흥원(KISA)에 따르면 KISA에 접수된 국내 로그4j 피해 건수는 0건이다. 최미정 과기정통부 사이버침해대응과장은 "아직까지는 국내 피해 접수 사례 없다"고 밝혔다. 
 
로그4j는 기업 홈페이지 등 인터넷 서비스 운영·관리를 위해 접속 기록이나 개발 과정 등 각종 로그 기록을 남기기 위해 사용하는 프로그램이다. 아파치 소프트웨어재단이 재발한 자바 기반의 인터넷 서버용 소프트웨어이며, 오픈 소스로 무료 배포돼 전 세계 IT 기업이 광범위하게 사용하고 있다. 애플·트위터·스팀 등 글로벌 기업부터 중소기업, 정부 기관까지 로그4j를 사용하는 것으로 알려졌다. 
 
로그4j 취약점과 보안 업데이트 관련 아파치 소프트웨어 재단 공지. 사진/홈페이지 갈무리
 
로그4j 보안 취약점은 중국 알리바바 클라우드 보안팀에서 처음 발견됐다. 공격자가 해당 취약점을 통해 해킹하면 컴퓨터 내 모든 데이터를 해킹 또는 삭제할 수 있고, 악성 프로그램을 심을 수도 있는 등 모든 권한에 접근할 수 있다. 해킹에 성공한 컴퓨터를 기반으로 대국민 공격까지 할 수 있는 것으로 알려졌다. 
 
개발사인 아파치 재단은 지난 6일 관련 업데이트를 진행했다. 그러나 지난 10일 인터넷 개발자들이 이용하는 해외 커뮤니티에서 로그4j 해킹법이 공개되면서 전 세계 IT업계에 비상이 걸렸다. 
 
AP통신이나 더버지 등 외신에 따르면 온라인 게임 '마인크래프트'에서 로그4j를 활용한 해킹 시도가 있었으며, 마인크래프트 측은 즉시 대응했다고 밝혔다. 애플리케이션 보안업체 루나섹은 자사 블로그에 게임 플랫폼 스팀과 애플의 아이클라우드 또한 로그4j 해킹에 취약하다고 밝혔다. 
 
로그4j 보안 업데이트 관련 한국인터넷진흥원 보호나라 보안공지. 사진/보안나라 홈페이지 갈무리
 
정부도 긴급히 대응에 나섰다. 과기정통부와 KISA는 지난 12일 KISA 보호나라 보안공지에서 긴급 보안 업데이트를 권고했다. 특히 대규모 피해가 발생할 수 있는 기반시설·ISMS 인증기업(758개사)·최고정보보호책임자(CISO, 2만3835명)·사이버 위협 정보 공유 시스템(C-TAS, 328개사)·클라우드 보안인증 기업(36개사)·웹호스팅사(477개사)·인터넷 데이터 센터(IDC, 16곳) 등을 대상으로 긴급 전파했다. 이동근 KISA 침해사고분석단장은 "문자나 이메일 등 연락 가능한 수단을 전부 동원에 보안 업데이트를 적용하라고 권고하고 있다"고 설명했다. 
 
보안전문가들은 당장 신고된 피해는 없지만, 로그4j를 노린 공격이 본격적으로 시작될 수 있다고 주장한다. 아직 보안 패치가 되지 않은 중소기업이 공격자의 먹잇감이 될 수 있기 때문이다. 전문가들은 대기업이나 IT 전문 기업, 정부 기관 등은 발 빠르게 대응하고 있지만, 사각지대에 놓은 곳들이 공격 거점으로 악용될 수 있다고 지적한다. 
 
문종현 이스트시큐리티대응센터(ESRC) 센터장은 "아직 신고가 없다는 것은 안전하다는 의미보다 이제 공격이 가시화될 수 있기 때문에 더 조심해야 하는 단계"라고 말했다. 문 센터장은 "작은 회사들은 자사 홈페이지가 로그4j를 활용하고 있다는 사실 자체를 모르고 있는 경우도 많을 것"이라며 "이런 곳들의 보안 업데이트가 끝나기 전까지 위협에 노출되는 것은 시간문제"라고 꼬집었다. 그는 "100% 보안 업데이트가 끝나기 전까지는 안심할 수 없다"며 "(해당 위협이)길면 1년까지도 갈 수 있다"고 내다봤다. 
 
문 센터장은 "일단은 웹서비스나 컴퓨터 프로그램을 위한 고객 서비스를 하는 곳이 있다면 내부적으로 보안 팀이나 개발 부서를 통해 로그4j를 사용하고 있는지부터 확인해야 한다"며 "각 회사 경영진도 적극적으로 관심을 갖고 (로그4j를) 사용하고 있다면 신속하게 업데이트해야 한다"고 요구했다. 
 
배한님 기자 bhn@etomato.com
 
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지
배한님 기자