2021년 말 보안업계를 들썩이게 한 로그4j 2보안 취약점이 2022년 새해에도 전 세계를 위협 중이다.

로그4j는 인터넷 서비스 운영과 관리 목적으로 기록을 남기기 위해 사용하는 인터넷 서버용 무료(오픈소스) 소프트웨어(SW)다. 2021년 12월 처음 취약점이 발견됐다. 전 세계적으로 많이 사용되던 오픈소스 SW다 보니 컴퓨터 역사상 최악의 보안 위협이라는 평가를 받는다.

17일 국내 보안업계는 새해에도 로그4j 관련 취약점을 계속 대응 중이다. 다행히 한국에서는 해외에서처럼 큰 피해가 발견되지 않았다.

로그4j 2 이미지/ 아파치 재단 홈페이지 갈무리
로그4j 2 이미지/ 아파치 재단 홈페이지 갈무리
최근 나이트스카이라는 신생 해킹 조직이 글로벌 IT 기업 VM웨어 호라이즌 서버를 공격한 것으로 파악됐다. 마이크로소프트(MS)는 인터넷에 노출된 VM웨어 호라이즌 시스템의 로그4j 취약점을 악용해 나이트스카이 랜섬웨어를 배포하는 공격을 진행하고 있다고 경고했다. 이들은 이용해 이들은 일본과 방글라데시의 기업 네트워크를 해킹한 전적이 있다.

처음 로그4j 취약점이 발견된 것도 미국 개발사의 개발한 ‘마인크래프트'였다. 마인크래프트는 MS가 2014년 인수한 인기 온라인 게임이다. 월 평균 이용자만 1억명이 넘는다.

미국 정부는 자국 기업의 피해가 계속해서 발견되자 대통령이 직접 나서 오픈소스 SW 보안 대비책을 논의했다. 최근 백악관에서 아파치 재단, 구글, 애플, MS, IBM, 메타, 오라클과 같은 주요 IT 기업 관계자와 국방부를 비롯한 사이버 보안 관계자를 한 데 모아 오픈소스 SW 보안에 대한 회의를 열었다.

미국 산업계와 정부는 수많은 SW가 오픈소스로 구성돼 있는 만큼 보안과 유지 보수에 대한 표준이 필요하다는 의견에 뜻을 모았다. 구글은 기업 내 오픈소스 유지 관리를 위한 조직을 만들자고 제안하기도 했다.

국내는 로그4j로 인한 직접적 피해가 없다 보니 생각보다 조용하다. 초기 대응이 빨랐던 탓에 별다른 피해가 없다는 평가가 나온다. 하지만 방심할 수 없기에 모니터링(관제)을 통해 상황을 예의주시한다.

보안업계 한 관계자는 "로그4j 취약점이 처음 발견된 주말부터 기업은 물론 정부까지 대응에 나서며 취약점에 대응했기 때문에 초기 피해를 방어할 수 있었던 것 같다"며 "한국에서는 다행히 이렇다 할 피해 사례가 발견되지 않았지만 안심할 수 있는 상황은 전혀 아니며, 해외서는 최근까지도 피해 보고가 나오고 있기 때문에 상황을 계속 지켜봐야 한다"고 말했다.

또 다른 보안 업계 관계자는 "(로그4j 피해가)잠잠해진 것이 아니라 조용히 계속 물밑에서 대응하고 있는 것이다"며 "하루아침에 해결할 수 있는 문제가 아니기 때문에 문제점을 파악하고 패치를 받거나 업그레이드하는 작업을 현재도 진행 중이다"고 말했다.

류은주 기자 riswell@chosunbiz.com