과학기술정보통신부는 16일 아파치 로그(Log)4j 보안 취약점 대응을 위한 긴급 정보보호 최고책임자(CISO) 간담회를 개최했다.
이번 간담회는 지난 과기정통부의 취약점 관련 상황 전파 등 초동조치 이후, 보다 체계적이고 신속한 보안조치를 위해 기업의 정보 보안을 책임지는 정보보호최고책임자(CISO)를 대상으로 취약점 대응 현황을 긴급 점검했다.
과기정통부는 본 취약점 대응 관련으로 국민 기본생활 및 경제 안정에 영향을 미칠 수 있는 정보통신, 금융, 의료 등 주요 정보통신 기반 시설(90개 기관, 147개 시설)을 대상으로 12일부터 아파치 로그4j 2에서 발견된 취약점에 대해 긴급점검을 실시했다.
전체 민간 분야 기반 시설(147개 시설) 중 30개 시설(20.4%)에서 아파치 로그4j 2를 사용하고 있는 것으로 조사됐다. 보안 패치가 완료될 예정이다.
과기정통부는 소프트웨어 관련 협회인 공개소프트웨어협회와 한국소프트웨어산업협회를 통해 1만여 개 소프트웨어 기업에 보안 업데이트 필요성을 긴급 공지했다. 2018년부터 기업이 공개 소프트웨어를 활용해 소프트웨어 개발 시 보안 취약점을 미리 파악할 수 있도록 보안 취약점 무료검사 서비스를 제공하고 있다고 밝혔다.
홍진배 정보보호네트워크정책관은 "Log4j 취약점의 영향을 받는 대상이 현재까지는 기업에서 운영하는 인터넷 서비스, SW가 대부분으로 기업들은 정보보호 최고책임자(CISO)를 중심으로 신속하게 보안 업데이트를 수행했다"며 "일반 국민의 경우는 직접적으로 보안패치를 할 사항은 없으나 평소와 같이 백신프로그램 설치와 최신 보안업데이트와 같은 기본적인 정보보호 실천수칙을 잘 지켜달라"고 당부했다.
이어 "향후 일반 국민들이 사용하는 프로그램 등에 관련 취약점이 발견될 경우 즉각적인 보안조치 실시 등 국민 피해를 예방할 계획이다"고 말했다.
아파치 Log4j에 새로운 취약점이 계속 발견돼 보안패치된 신규 버전인 log4j 2.16.0(Java8이상), 2.12.2(Java7)이 지속적으로 발표되고 있다. 과기정통부는 관련 사항을 보호나라에 공지하고 있으니 주기적으로 확인하고 대응해줄 것을 특별히 당부했다.
류은주 기자 riswell@chosunbiz.com