침해사고/위협동향

“애플·스팀·아마존·트위터도 위험하다”··· 발칵 뒤집힌 전 세계 IT 기업

이종현
[디지털데일리 이종현기자] 전 세계 수백만개 이상의 애플리케이션(앱) 및 이상 사용되고 있는 오픈소스 자바(Java) 로깅 프레임워크 ‘Log4j’에서 심각한 취약점이 발견됐다. 취약점에 노출된 서비스에 접속하는 공개 서버가 해킹될 위험에 노출됐다는 소식으로, 애플 ‘아이클라우드’나 게임 플랫폼 ‘스팀’을 비롯해 아마존, 트위터 등도 영향을 받는 것으로 알려졌다.

10일(현지시각) 더 버지(The Verge), AP통신 등 외신은 아파치(Apache) 소프트웨어 재단의 자바(Java) 언어로 제작된 ‘Log4j’에서 취약점이 발견됐다고 보도했다. Log4j는 프로그램 작성 중 로그를 남기기 위해 사용되는 프로그램이다.

사태가 널리 알려진 것은 한국시간으로 10일 오전 9시경, 오픈소스 코드 저장소 깃허브(GitHub)에 CVE-2021-44228(Log4Shell)라고 명명된 취약점이 업데이트되면서부터다. Log4j에 원격코드실행(RCE, Remote code execution) 취약점이 발견됐다는 내용이다. 0~10점으로 취약점의 위험성을 평가하는 CVSS서 10점으로 가장 높은 심각도로 평가됐다.

RCE는 해커가 보안 취약점을 악성코드를 실행하는 것을 뜻한다. 가령 이번 취약점의 영향을 받는 것으로 알려진 게임 ‘마인크래프트’는 해커가가 채팅 메시지를 입력하는 것만으로도 해킹이 가능한 것으로 파악됐다.
취약점에 노출된 것으로 알려진 마인크래프트
취약점에 노출된 것으로 알려진 마인크래프트

마인크래프트는 최신 버전의 마인크래프트에서는 문제점을 보완했다고 공지했다. 패치가 적용되지 않은 이전 버전의 경우 해킹에 노출될 수 있다.

과거 전 세계를 뒤흔든 랜섬웨어 ‘워너크라이’ 공격을 차단한 것으로 인지도가 높은 보안 전문가 마커스 헛친스(Marcus Hutchins)는 트위터를 통해 “log4j(CVE-2021-44228) 취약점은 매우 위험하다. 수백만개의 앱이 로깅을 위해 log4j를 사용하고 있다. 아이클라우드, 스팀, 마인크래프트도 취약한 것으로 확인됐다”고 말했다.

이어서 그는 “Log4j를 업그레이드할 수 없는 경우 log4j2.formatMsgNoLookups를 True로 설정하면 RCE 취약점을 완화할 수 있다(JVM 명령줄에서 –Dlog4j2.formatMsgNoLookups=true)”며 해결책을 제시했다.

한국의 보안기업 및 기관에서도 대응에 나섰다. 한국인터넷진흥원(KISA)은 2.0-beta9 ~ 2.14.1 모든 버전이 해당 취약점에 영향을 받는다며, 제조사 홈페이지를 통해 최신 버전(2.15.0)으로 업데이트할 것을 권고했다.

과기정통부는 보호나라 홈페이지를 통해 11일 보안 업데이트를 당부했다. 기반시설, ISMS 인증기업(758개사), 최고정보보책임자CISO(23835명), 민간 사이버위협정보공유시스템(C-TAS, 328개사), 클라우드 보안인증 기업(36개사), 웹호스팅사(477개사), IDC (16곳) 등을 대상으로 긴급 전파했다.

국가정보원 관계자는 “11일 자정부터 실태 파악, 정보공유, 보안패치 안내 등 선제적 조치를 했다. 현재까지는 국가·공공기관 대상 관련 해킹 피해 사례는 없는 것으로 파악했다”며 “향후 유관기관과 협력해 피해 차단에 만전을 기하겠다”고 말했다.

안랩 시큐리티대응센터(ASEC), 이스트시큐리티 시큐리티대응센터(ESRC)도 관련 정보를 업데이트했다.

한편 해당 취약점이 처음 보고된 것은 지난 11월 24일 알리바바 클라우드 보안팀에 의해서다. 알리바바 클라우드는 아파치 소프트웨어 재단에 취약점을 최초 보고했고 첫 패치는 12월 6일 배포됐다.
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널