아파치(Apache) 소프트웨어 재단의 오픈소스 프로그램 ‘log4j’에서 심각한 보안 취약점이 발견됐다. 원격코드실행(RCE) 취약점으로, 0~10점으로 위험성을 평가하는 CVSS 점수에서 가장 높은 10점을 받았다. ‘log4shell(로그4쉘)’이라고 명명됐다.
이번 공격에 대해 한 보안 전문가는 “공격은 쉬운데, 위험성은 높고, 공격 대상은 곳곳에 퍼져있다”고 말했다. 조금 과장해서 자바(Java) 언어로 개발되는 거의 모든 애플리케이션(앱)에 사용된다고도 표현했다.
실제 위협 인텔리전스(Threat Intelligence) 기술을 보유한 보안기업들은 이미 log4j 취약점을 이용한 사이버공격이 곳곳에서 확인된다고 경고했다. 다크웹 등지에서는 “log4j 취약점을 이용해 공격했다”고 말하는 이들도 보인다.
국내·외 기업·기관들도 서둘러 대응에 나섰다. 보안 취약점이 드러난 버전에 대한 정보를 공유하고 최신 버전의 패치 등 대처법을 공유하고 있다.
국내 오픈소스 취약점 점검 솔루션 개발사 아이오티큐브는 고려대 보안연구소(CSSA)와 손잡고 개발한 log4j 취약점 점검 서비스(스캐너) ‘래브라도 OSS’를 무료 배포했고, 로그프레소, SK쉴더스, 이스트시큐리티도 유사한 솔루션을 내놨다.
아직까지 log4j 취약점으로 인한 국내 기업·기관 피해 사례는 공유되지 않았다. 다만 보안업계에서는 “국내라고 해서 피해가 없을 리가 없다”고 말한다. 피해가 있음에도 인지하지 못했거나, 숨기거나, 해커가 침입만 한 상태에서 악의적인 행동을 수행하지 않았을 것이라는 설명이다.
문제는 log4j 취약점에 대한 보안패치가 수월하지 않다는 점이다. 취약점 진단·점검 솔루션을 보유한 보안기업들은 “우리 솔루션이면 모두 잡아낸다”고 하지만, 정보기술(IT) 업계에서는 “말처럼 쉽지 않다”고 밝혔다. 중소기업뿐만 아니라 규모가 중견·대기업도 아직 log4j 관련 취약점에 대한 대비를 마치지 못한 것으로 전해진다.
엎친데 덮친격으로, log4j 관련 취약점이 지속해서 발견되고 있다. log4j 취약점 사태의 공포는 이제 시작이라는 말이 나오는 이유다.