[뉴스토마토 배한님 기자] 전 세계를 긴장에 떨게 하고 있는 Log4j(로그4j)에서 추가 취약점이 발견돼 정부가 민간의 빠른 대응을 권하고 있다. 기존 취약점보다 위험도는 다소 낮지만, 추가적인 위협에 노출될 수 있기 때문이다. 개발사인 아파치 소프트웨어재단은 이와 관련해 신규 업데이트를 배포했다.
로그4j 취약점과 보안 업데이트를 공지한 아파치 소프트웨어 공지. 사진/홈페이지 갈무리
한국인터넷진흥원(KISA)은 15일 로그4j와 관련해 추가로 취약점이 발견돼 신규 업데이트가 배포되고 있다며 이에 따라 최신 패치 또는 대응 방안을 적용해달라고 밝혔다. KISA는 해당 정보를 보호나라 보안공지와 대응가이드에 반영했다.
이번에 발견된 취약점은 지난 10일 인터넷 개발자 커뮤니티에서 공유된 로그4j 해킹법과는 다른 취약점이다. 이는 아파치 재단 오픈소스 개발팀에서 추가 수정 지점을 찾던 과정에서 발견한 것으로 알려졌다. 이날 오후 4시 기준 KISA에 접수된 로그4j 관련 피해는 아직까지 없다.
KISA는 지난번 취약점 대응에 따라 로그4j 2.15.0 버전을 업데이트를 조치했다면, 아주 심각한 수준의 공격은 피할 수 있겠지만, 완벽히 피해 예방을 하기 위해서는 이번에 배포된 로그4j 2.16.0 업데이트를 해달라고 요청했다. 이전 업데이트를 하지 않았다면 최신 버전 업데이트만 진행해도 된다.
이동근 KISA 침해사고분석단장은 "초기 취약점은 리스크 평가가 최고 수준으로 높았으나, 이번에 발견된 것은 중 간정도 위험도로 나오고 있다"며 "지난번 업데이트를 적용했다면 아주 긴급한 공격은 막을 수 있지만, 추가적인 위협에 노출될 수 있기 때문에 최신 버전을 적용해 달라"고 당부했다.
한편, 로그4j는 기업 홈페이지 등 인터넷 서비스 운영·관리를 위해 접속 기록이나 개발 과정 등 각종 로그 기록을 남기기 위해 사용하는 프로그램이다. 아파치 소프트웨어재단이 재발한 자바 기반의 인터넷 서버용 소프트웨어이며, 오픈 소스로 무료 배포돼 전 세계 IT 기업이 광범위하게 사용하고 있다. 애플·트위터·스팀 등 글로벌 기업부터 중소기업, 정부 기관까지 로그4j를 사용하는 것으로 알려졌다.
로그4j 보안 취약점은 중국 알리바바 클라우드 보안팀에서 처음 발견됐다. 공격자가 해당 취약점을 통해 해킹하면 컴퓨터 내 모든 데이터를 해킹 또는 삭제할 수 있고, 악성 프로그램을 심을 수도 있는 등 모든 권한에 접근할 수 있다. 해킹에 성공한 컴퓨터를 기반으로 대국민 공격까지 할 수 있는 것으로 알려졌다.
개발사인 아파치 재단은 지난 6일 관련 업데이트를 진행했다. 그러나 지난 10일 인터넷 개발자들이 이용하는 해외 커뮤니티에서 로그4j 해킹법이 공개되면서 전 세계 IT업계에 주의보가 내려졌다.
배한님 기자 bhn@etomato.com