인터넷 서버용 소프트웨어 ‘아파치 로그포제이 2(로그4j)'에서 심각한 해킹을 야기할 수 있는 취약점이 발견됐다. 전 세계 IT 업계가 비상에 걸렸다. 한국내 피해 사례는 아직 없지만, 일부 금융사가 해킹 공격에 노출된 것으로 알려지며 긴장감이 고조된다.

로그4j는 기업 홈페이지에서 로그 기록을 남기기 위해 사용하는 소프트웨어(SW)다. 개발자가 프로그램을 개발할 때 로그 기록을 관리하는 용도로 사용한다. 하지만 해커들이 악용할 경우 서버를 탈취할 수 있다. 컴퓨터를 원격으로 조종하는 것도 가능하다.

로그4j는 무료 제공 오픈소스다. 애플, 아마존을 비롯한 국내외 IT 기업은 물론 정부 기관 등 사용처가 광범위하다. 정부는 보안 패치를 긴급 배포하고, 이통사와 금융사 등 피해가 심각할 수 있는 민간 기업을 대상으로 피해 현황 파악에 착수했다.

서버 보안 이미지 / 픽사베이
서버 보안 이미지 / 픽사베이
13일 국내 금융사들도 ‘로그4j’ 오류를 이용한 공격에 노출된 사실이 파악됐다. 금융보안원은 구체적인 피해가 확인되지 않은 만큼 기업명은 공개하지 않았다.

민간기업 사이버 보안을 담당하는 과학기술정보통신부 산하 한국인터넷진흥원(KISA) 관계자는 "금융권은 보안을 더 철저하게 하다 보니 침해 시도를 더 빨리 확인 가능한 면이 있다"며 "기업들은 보안패치를 적용하면서 다른 시스템도 영향을 미치는지 면밀하게 확인해야 한다"고 말했다.

공공기관의 사이버 보안을 담당하는 국가정보원은 12일 긴급 점검 결과, 현재까지 국가·공공기관 대상 관련 해킹 피해 사례는 없는 것으로 확인됐다고 밝혔다.

국내에서는 피해 사례가 아직 발견되지 않았지만 안심할 수 없는 상황이다. 로그4j에 약한 서버리스트가 해킹사이트에서 공유되고 있기 때문이다. 알려진 공격 방법 외 새로운 공격 방법이 생길 가능성도 배제할 수 없다.

과학기술정보통신부는 정보통신 기반 보호법에 해당하는 90개 기관과 기업을 중심으로 상황을 파악 중이다.

과기정통부 관계자는 "기업이나 기관들이 서버에 로그4j가 쓰였는지조차 모르는 경우가 많아 실태를 파악 중이다"며 "로그4j를 사용했을 경우에는 패치를 적용하거나, 구성이 변형된 경우 제조사와 패치를 재설계해 적용하는 등 기업별로 상황에 맞게 대처 중이다"고 말했다.

이어 "90개 기업 외에도 소프트웨어 정책국과 협력하고 있다"며 "버전에 따라 패치가 필요한 버전도 있고 아닌 버전도 있기 때문에 개발사의 확인이 필요하다"고 말했다.

현재로서는 로그4j 사용 여부 확인과 보안패치 설치가 유일한 대응책으로 알려졌다. 과기정통부는 보호나라 홈페이지를 통해 즉시 보안 업데이트를 당부했다. 기반 시설, ISMS 인증기업(758개사), CISO(2만3835명), C-TAS(328개사), 클라우드 보안인증 기업(36개사), 웹호스팅사(477개사), IDC (16곳)를 대상으로 긴급 전파했다.

국내 IT 기업 최고정보보호책임자(CISO)들의 움직임도 바빠졌다.

국내 대기업 한 CISO는 "주말부터 보안 패치를 만드는 작업을 시작했다"며 "국내 대기업들은 방화벽 같은 시스템이 잘 돼있어 패턴을 보고 대응을 할 수 있다"고 말했다.

이어 "알려지지 않은 공격 방법은 트래픽 같은 징후를 통해 공격을 예상할 수밖에 없다"고 말했다.

보안 기업들도 로그4j 사태 이후 대응에 나섰다. 이스트시큐리티는 취약점이 보고된 10일부터 블로그에 관련 내용을 공지했다. 안랩도 로그4j 2 취약점 주의와 업데이트 권고 내용을 블로그에 게시했다.

로그프레소는 12일 취약점 대응을 위한 스캐너를 긴급 배포했다. 오픈소스 취약점 점검 솔루션 개발사 아이오티큐브도 취약점 점검 서비스를 무료 배포했다.

류은주 기자 riswell@chosunbiz.com