[디지털데일리 이종현기자] 과학기술정보통신부(이하 과기정통부)는 아파치(Apache)의 오픈소스 프로그램 log4j 보안 취약점 대응을 위한 긴급 정보보호최고책임자(CISO) 간담회를 개최했다고 16일 밝혔다.
과기정통부는 이날 간담회를 통해 기업의 정보보안을 책임지는 CISO를 대상으로 대응 현황을 긴급 점검했다. log4j 취약점 공격 방어전략 및 취약여부, 점검방법, 보안조치 방안 등 세부적인 취약점 대응 방안에 대한 정보 공유 및 피해를 최소화하기 위한 민·관 협력 대응방안을 논의했다.
이번 간담회에 앞서 과기정통부는 12일 국민 기본생활 및 경제 안정에 영향을 미칠 수 있는 정보통신, 금융, 의료 등 주요정보통신기반시설 90개 기관, 147개 시설을 대상으로 log4j 2에서 발견된 취약점에 대해 긴급점검을 실시했다.
긴급점검 결과 147개 민간분야 기반시설 중 30개 시설(20.4%)에서 log4j 2를 사용하고 있는 것으로 조사됐고 빠른 시간 내 보안패치가 완료될 예정이라고 과기정통부는 전했다.
또 소프트웨어(SW) 관련 협회인 공개SW협회 및 한국SW산업협회를 통해 1만여개 SW 기업에 보안 업데이트 필요성을 긴급 공지했다.
홍진배 과기정통부 정보보호네트워크정책관은 “현재까지는 log4j 취약점의 영향을 받는 대상 대부분이 기업에서 운영하는 인터넷 서비스, SW가 대부분이다. 기업들은 CISO를 중심으로 신속하게 보안 업데이트를 수행해 주기를 당부드린다”고 말했다.
또 그는 “일반 국민의 경우 직접적으로 보안 패치를 할 사항은 없다. 평소와 같이 백신 프로그램 설치 및 최신 보안 업데이트 적용 등 기본적인 정보보호 실전수칙을 잘 지켜주기를 바란다. 향후 일반 국민들이 사용하는 프로그램 등에 관련 취약점이 발견될 경우 즉각적인 보안 조치를 실시하겠다”고 부연했다.
한편 아파치 log4j에 신규 취약점이 계속 발견돼 보안 패치된 신규버전이 지속적으로 발표되고 있다. 자바(Java) 8 이상의 경우 log4j 2.16.0, 자바7은 log4j 2.12.2가 16일 기준 최신 버전이다.