전 세계 보안업계를 긴장하게 만든 보안 취약점 로그4j 여파가 2주째 이어진다. 최근 국가의 안보를 담당하는 국방부마저 뚫린 사실이 알려져 더욱 긴장감이 고조된다.
로그4j는 자바 기반 오픈소스 소프트웨어다. 방문자의 접속기록과 같은 인터넷 서비스 운영과 유지 관리에 필요한 기록을 관리할 수 있는 프로그램이다. 하지만 보안 취약점을 통해 관리자가 아닌 외부인이 비밀번호 없이 접근해 데이터를 훔치거나 랜섬웨어와 같은 악성코드를 실행할 수 있다는 사실이 최근에 발견됐다. 오픈소스다 보니 거의 전 인터넷에 로그4j가 깔려 있다고 봐도 무방하다는 것이 보안업계의 분석이다.
벨기에 국방부 측은 해킹 공격 사실을 인정했다. 다만 업무가 일시적으로 중단됐을 뿐 피해가 심각한 수준은 아니었다고 발표했다.
국내에서는 아직까지 로그4j 해킹 피해 사례가 발견되지 않았다. 하지만 공격의 흔적은 많이 드러나고 있어 안심할 수 없는 상황이다. 최근 지니언스와 엑사비스는 로그4j 취약점이 최초 공개되기 며칠 전부터 상당한 공격 시도가 있었고, 이중 몇몇은 성공한 것으로 파악됐다고 밝혔다. 보안 패치를 배포하기 전부터 공격이 있었던 것이다.
보안 업계는 ‘로그4j 대해 취약점 스캔, 해킹 점검 툴과 같은 다양한 대응 방안이 제시되고 있지만 취약한 대상을 확인하는 것만으로는 충분치 않다고 지적한다. 엑사비스 측도 패치 이전 공격 흔적도 탐지해 잠재적인 보안에도 대응하는 보안 대응 체계가 필요하다고 제언했다.
보안 담당자들은 로그4j 이슈에 신경을 곤두세운다. 비상 대응 체제 가동으로 주말에도 일을 하는 곳도 있는데다, 이슈 장기화로 보안 담당자의 피로도가 가중되고 있다. 직접 개발하지 않은 외부 구매(서드 파티) 제품의 경우에는 해당 업체가 보안업데이트를 제공해 줘야 하는 문제로 상당기간이 소요될 것으로 예상된다.
게다가 취약점 발견 일주일 만에 3번째 보안 패치가 배포되자, 신뢰도에 의문을 제기하는 목소리도 나온다.
보안 업계 한 관계자는 "기업들마다 상황이 다르겠지만, 보안 패치에서도 문제점이 계속 발견되니 현장 엔지니어들 사이에서는 ‘뭘 믿고 이 패치로 업그레이드해야 하는지’에 대한 의문이 생기고 있다"며 "기업들은 현재 로그4j 문제가 있는 장비를 파악하는 것 자체도 어려운데, 만약 문제점을 파악하더라도 임시 조치만 취하고 추후에 완성도 높은 보안 패치를 적용할지 당장 신규 보안패치를 적용할 지 선택을 해야 하는 상황이다"고 말했다.
또 다른 보안업계 관계자는 "공격 흔적이 발견됐거나 발견되고 있기 때문에 로그4j 사태는 장기화될 수밖에 없다"며 "보안 패치에도 계속 대응해야 하며, 어떤 솔루션에 (로그4j)가 붙었는지도 확인하는 것도 시간이 많이 걸리기 때문에 보안담당자들의 피로도가 지금도 많이 축적돼 있다"고 말했다.
류은주 기자 riswell@chosunbiz.com