인터넷 서버용 소프트웨어 '로그4j'(log4j)에서 심각한 해킹 피해를 일으킬 수 있는 보안 취약점이 발견돼 세계 보안업계에 비상이 걸렸다. 아직 국내 피해사례는 없는 걸로 파악되지만, 정부는 최근 비슷한 보안사고가 잇따르는 등 사안이 가볍지 않다고 보고 후속조치에 나서기로 했다.
12일 정부와 업계에 따르면, 지난 10일 아파치재단이 개발한 자바 기반 오픈소스 로깅 라이브러리 '로그4j'에서 치명적인 보안 취약점이 발견됐다.
로깅이란 시스템 작동 과정에서 발생하는 일련의 정보(로그)를 저장하는 것을 일컫는다. 이는 해킹 등이 발생하면 저장된 로그를 통해 비정상적인 접근이 없었는지 살피기 위한 목적으로, 서버 관리를 위한 필수 소프트웨어다. 특히 로그4j는 이른바 '오픈 소스'로 무료 제공되는 서비스여서 애플, 아마존, 트위터 등 전 세계 주요 기업이 서버 관리를 위해 사용하고 있다.
그런데 이 로그4j에서 원격코드와 관련한 취약점이 발견된 것이다. 해커가 취약점을 통해 악성코드 등을 심는 방식으로 목표 대상 컴퓨터에 침투할 수 있는데, 최악의 경우 기업 서버가 완전 마비될 수도 있다. 외신이 "최근 10년간 가장 치명적이고 거대한 취약점"이라고 보도한 배경이다.
외신을 통해 관련 보안 위협이 알려진 직후 우리 정부도 곧바로 국내 주요 기반시설과 민간기업 등에 보안 업데이트를 권고했다. 다행히 이번 취약점은 업데이트와 일부 설정만 바꾸면 해결할 수 있다는 게 정부 설명이다.
정부는 현재 로그4j가 국내에서 얼마나 많이 쓰이는지 정확히 알 순 없지만, 미국에 견줘 사용비율이 낮은 것으로 추정하고 있다. 서버 마비 시 최대 피해가 예상되는 국내 대형은행들도 이 소프트웨어는 사용하지 않는 것으로 정부는 파악하고 있다.
과학기술정보통신부 관계자는 "현재 대부분 기업은 보안 업데이트를 마친 것으로 파악되고 늦어도 13일까지 다 끝낼 걸로 보인다"며 "아직 피해사례는 나오지 않았지만 상황을 계속 주시하고 있다"고 말했다.
국내 피해사례는 나오지 않았지만 이번 사태로 사이버 보안 위협에 대한 경각심은 커지고 있다. 이번처럼 외부업체가 공급하는 소프트웨어를 고리로 한 해킹 공격이 잇따르고 있어서다. 업계에선 이를 '공급망 공격'이라 부른다.
지난해 세계 보안업계를 떠들썩하게 만든 '솔라윈즈' 해킹 사건이 대표적이다. 솔라윈즈는 다수 기업의 네트워크 시스템 관리용 소프트웨어를 만드는 미국 회사다. 지난해 국제 해커 조직이 이 회사 소프트웨어에 악성코드(트로이목마)를 심어 미 연방정부 등 서버에 침투한 사실이 드러나 미 정부가 긴급 조치를 내리기도 했다. 솔라윈즈의 30만 고객 가운데 2만여 곳이 악성코드를 내려받았다.
정부도 오픈소스 소프트웨어의 보안 수위를 높이는 방향을 고민하고 있다. 과기부 관계자는 "오픈소스가 워낙 많다 보니 앞으로 유사 사고가 발생할 가능성이 크다"며 "사용 실태조사 등 후속조치를 고민하고 있다"고 말했다.