"로그4j(log4j) 사태는 길게는 수개월 더 이어질 걸로 예상됩니다. 국내에서 피해사례가 나오지 않았지만 절대 안심할 수 없습니다."
배민 LG CNS 보안사업담당(DT사업부) 상무는 19일 한국일보와의 인터뷰에서 "로그4j의 보안 취약점이 워낙 커 해커의 공격 파급력이 상당할 걸로 예상된다"며 이같이 말했다. 추가 취약점이 잇따라 발견되는 등 이번 사태가 장기화할 조짐을 보이고 있다는 것이다.
정보기술(IT) 서비스 회사인 LG CNS는 로그4j 사태가 일어나자마자 고객사의 해킹 피해에 대비해 비상 체제를 가동한 상황이다.
논란이 된 로깅 라이브러리 로그4j는 아파치재단이 무료 배포하는 서버용 소프트웨어(SW)다. 특정 프로그램에 누가 어떤 방식으로 들어왔는지 관련 정보(로그)를 기록(로깅)하는 역할이다.
로그4j는 편의성과 확장성 덕분에 사실상 업계 표준처럼 널리 쓰였다는 게 배 상무의 설명이다. 정부 조사에서도 국내 주요정보통신기반시설(147곳) 중 20곳(20%)에서 문제의 로그4j가 사용된 것으로 나타났다.
로그4j를 만든 아파치재단이 보안 취약점을 해결한 보안패치를 신속히 내놨지만, 현재로선 문제 해결이 간단치 않다. 우선 신규 패치를 깔고 싶어도 구조상 로그4j가 들어간 소프트웨어를 찾아내는 게 쉽지 않아서다.
배 상무는 "기업이 SW 프로젝트를 추진할 때 비핵심 기능은 직접 개발하지 않고 외부 SW로 구현하는데, 로깅은 후자다"며 "SW 개발 전 과정을 다 아는 관리자라면 모를까 그렇지 않으면 로그4j가 적용됐는지 알 수가 없다"고 말했다.
윈도우 파일탐색기처럼 파일 이름을 입력하면 저절로 검색되는 구조가 아니라, 관리자가 컴퓨터 명령어를 통해 찾는 방식인데 이는 마치 수백 페이지 책을 뒤지며 특정 문장을 찾는 것과 비슷하다는 것이다.
더구나 신규 패치를 바로 깔기도 쉽지 않다. "최근 로그4j의 다른 버전에서도 추가로 취약점이 발견돼 신규 패치가 계속 나오고 있는데다, 새 패치가 전체 SW에 영향을 미칠 수 있어 패치 작업에 상당한 시간이 필요하다"는 것이다. 과학기술정보통신부 관계자도 "신규 패치가 다른 SW 코드에도 영향을 주기 때문에 신규 패치로 문제가 해결되는 기업도 있지만 안 그런 회사도 있어 상황이 복잡하다"고 했다.
배 상무는 국내에서 피해사례가 나오진 않았지만 안심하긴 이르다고 했다. 이미 해외에선 로그4j를 겨냥한 해킹이 잇따르고 있다는 외신 보도도 나왔다. 그는 "취약점을 이용하면 손쉽게 공격할 수 있고 이미 온라인 상엔 공격 툴도 퍼졌다"며 "해커가 이미 서버에 악성코드를 심었을 수도 있는 만큼 패치를 깔았더라도 외부 침입 흔적을 철저히 점검해야 한다"고 말했다.
정부도 최근 기업 정보보호최고책임자(CISO)들과 긴급 대책회의를 여는 등 대응수위를 높이고 있다. 과기부 관계자는 "현재로선 이번 사태가 단기에 끝날 걸로 보이지 않아 민관이 힘을 합쳐 대응수위를 높이고 있다"며 "일반기업은 민간 IT서비스 회사들이 무료로 제공하는 로그4j 해킹 툴을 적극 이용해달라"고 당부했다.