침해사고/위협동향

전 세계 IT 강타한 최악의 위협 ‘로그4쉘’··· 대규모 피해 불가피

이종현
[디지털데일리 이종현기자] 아파치(Apache) 소프트웨어(SW) 재단의 자바 기반 로깅 라이브러리 ‘Log4j2’의 취약점으로 전 세계 정보기술(IT) 기업이 긴장하고 있다. 대처 방안이 공유됐지만 특성상 피해는 불가피하다는 것이 보안 전문가들의 설명이다.

한국 시간으로 10일 오전 9시경, 오픈소스 코드 저장소 깃허브(GitHub)에 CVE-2021-44228(Log4Shell)라고 명명된 취약점이 업데이트됐다. 0~10점으로 위험성을 평가하는 CVSS에서 가장 높은 10점으로 평가받은 취약점이다.

취약점 관리기업 테너블(Tenable)의 최고경영자(CEO)는 “최근 10년간 가장 치명적이고 거대한 문제다. 위험에 처하지 않은 회사가 없다”며 “현대 컴퓨터 인터넷 역사상 최악의 보안 결함일 수 있다”고 우려를 표명했다. 엔드포인트 탐지 및 대응(EDR) 기업 크라우드스트라이크 등도 사태가 심각하다고 말을 보탰다.

이번에 발견된 취약점이 특히 심각한 이유는 공격 방법이 너무나도 쉽고 대상이 많기 때문이다. 로그4쉘의 영향을 받는 것으로 알려진 최초 사례인 게임 ‘마인크래프트’의 경우 게임 내에서 채팅을 입력하는 것만으로 서버에 대한 권한을 탈취할 수 있는 것으로 알려졌다.

보안업계에서는 최소 수백만 개 이상의 IT 서비스가 취약점이 드러난 log4j2 라이브러리를 사용하는 것으로 예상하고 있는데, 이들 모두가 잠재적인 피해군이다. 테너블은 ▲마인크래프트 ▲스팀 ▲애플 I클라우드 ▲텐센트 ▲트위터 ▲바이두 ▲클라우드플레어 ▲아마존 등이 영향을 받는다고 전했다.

◆수십, 수백권의 책 중 단어 하나를 찾아내는 일

심각한 사태인 만큼 여러 보안 전문가들이 대응방안을 공유했다. 하지만 전문가들은 대응방안을 알고도 피해를 막는 것은 어렵다고 전했다.

이희조 고려대학교 교수는 “문제가 되는 라이브러리를 찾을 수 있다면 대응하는 것은 어렵지 않다. 하지만 그 라이브러리를 찾는 것이 어렵다”며 “코드를 짠 개발자가 있다면 쉬이 찾을 수 있겠지만, 만약 SW 하청업체나 제품 개발사, 오픈소스 커뮤니티 등을 통해 공급망 3~6단계를 거치는 관행을 고려하면 쉬이 대응할 수 없을 것”이라고 전망했다.

이 교수에 따르면 레거시 시스템일수록 피해가 크리라 예측된다. 내부 자산에 대한 가시성과 보안 시스템이 잘 갖춰져 있다면 대처할 수 있겠지만, 자체적으로 시스템을 개발하지 않은 경우라면 대응에 많은 시간이 걸릴 수밖에 없다.

한 보안 전문가는 시스템에서 log4j2를 활용하는지 여부를 찾는 것에 대해 “수백명의 공동저자가 집필한 책 수십, 수백권 중 몇 개 단어를 다른 도구 없이 직접 찾는 것”에 비유했다.

이 교수는 “취약점을 통해 해커가 한 번이라도 침입했다면 이미 끝난 상황”이라고 말했다. 설령 log4j2를 찾아서 최신 패치를 적용했더라도 이미 침입한 해커가 백도어를 심는 등의 작업을 했다면 대처가 어렵기 때문이다.
KISA 보안공지
KISA 보안공지

◆피해 시기는 예측 불가··· 오늘일 될 수도, 3년 뒤가 될 수도

사이버 악성 행위는 긴 시일에 걸쳐 이뤄진다. 최근 랜섬웨어가 1~2년 전에 침입한 뒤 내부에서 충분히 감염을 시킨 뒤 피해가 극대화할 때 악성 행위를 시작하는 것이 대표적인 예다. 악성 행위가 이뤄지지 않은 상태에서 백도어를 발견하는 것은 쉽지 않다. 당장 피해사례가 신고되지 않았다고 안심할 수 없는 이유다.

국내에서는 국가정보원, 과학기술정보통신부, 한국인터넷진흥원(KISA), 금융보안원 등을 비롯한 기관과 안랩, 이스트시큐리티 등 보안기업이 사태의 심각성을 전파, 대응방안을 공유했다. 각 기업들다 자사 정보기술(IT) 시스템에 대한 점검을 착수한 것으로 전해진다.

내부 시스템에 대한 전수조사를 한 NH농협은행은 “내부 전수조사 결과 공개 구간에서 log4j2를 쓰는 업무는 없었다. 내부적으로 일부 확인된 것도 문제가 된 log4j2가 아니라 log4j1이었는데. 그마저도 망분리가 돼 있다 보니 위험성은 없다”고 말했다.

설령 취약점이 노출돼 있더라도 국내 금융권의 경우 망분리가 의무화돼 있기 때문에 피해가 발생하기 어려운 구조다. 보안에 보수적인 금융권의 특징이 빛을 발했다는 평가가 나온다. 그럼에도 NH농협은행을 비롯한 금융사 몇몇은 개발자들의 개별 PC까지 점검에 나선 것으로 전해진다.

한편 사태와 관련, 캐나다퀘벡은 교육부와 고등교육부 등 3992곳의 웹사이트를 모두 페쇄했다. 모든 시스템에 대한 전수검사를 시행하기 위함이다.
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널