과기정통부, '치명적 보안 취약' 오픈소스 '로그4j' 긴급 보안조치 권고

[경향신문]

픽사베이 제공 이미지

인터넷 서버 개발에 빈번하게 쓰이는 소프트웨어에서 치명적 약점이 발견되면서 세계 정보기술(IT)업계에 혼란이 빚어지고 있다. 프로그램 개발에 사용하는 ‘기록도구’를 악용해 해커 등이 원격으로 기업이나 단체의 중앙컴퓨터까지 조작할 수 있는 수준으로 알려지면서 파장이 커지고 있다. 각국에서 대처에 나서는 가운데 한국 정부도 긴급 보안업데이트 등 조치에 나섰다.

과학기술정보통신부는 최근 치명적 보안 취약점이 발견된 오픈소스 소프트웨어(SW) ‘아파치 로그4j 2’(Apache Log4j 2)에 대해 긴급 보안조치를 취하라고 12일 관련 기관·업체에 권고했다.

과기정통부는 이날 “한국인터넷진흥원(KISA) 보호나라 홈페이지를 통해 즉시 보안 업데이트를 당부한 상태”라며 “기반시설, 정보보호관리체계(ISMS) 인증기업, 정보보호최고책임자(CISO) 등을 대상으로 해당 사실을 긴급 전파했다”고 밝혔다. 과기정통부는 “업데이트하지 않을 경우 취약점을 악용해 공격자가 원격으로 공격코드를 실행할 수 있어 심각한 피해를 볼 수 있다”고 설명했다.

지난 10일(현지시간) AP통신 등 외신은 로그4j에서 치명적인 보안 취약점이 발견돼 전 세계 사이버 보안 업계가 큰 혼란을 겪고 있다고 보도했다. 보도에 따르면 로그4j는 사실상 거의 모든 서버에서 서버·프로그램 등의 유지 관리를 목적으로 사용하고 있는데, 해커들이 이번에 발견된 취약점을 공격하면 비밀번호도 없이 내부망에 접근해 데이터를 약탈하거나 악성 프로그램을 심어 실행시키고 자료를 삭제할 수도 있다. 이 취약점은 역대 비디오게임 판매량 1위인 온라인게임 ‘마인크래프트’에서 처음 확인됐다. 로그4j를 관리하는 아파치 재단은 지난 6일 이 문제를 해결한 보안 업데이트를 발표했다.

국가정보원은 지난 11일 “오늘 0시쯤부터 실태 파악, 정보공유, 보안패치 안내 등 선제적 조치를 취했다”면서 “긴급 점검 결과 현재까지 국가·공공기관 대상 관련 해킹 피해 사례는 없는 것으로 확인됐다”고 밝혔다.

로그4j 관련 보안 취약점 조치에 대한 자세한 사항은 보호나라 홈페이지(www.boho.or.kr) 내 보안 공지에서 확인할 수 있다. KISA 사이버 민원센터(국번없이 ☎ 118)로 상담 요청 시 조치 여부 등을 자세하게 안내받을 수 있다.

조미덥 기자 zorro@kyunghyang.com