"역사상 최악"이라는 '아파치 로그4j 2' 사태, 일반인들도 영향 있을까

보안 전문가 "기업 해킹되면 일반 이용자도 감염될 수 있어"
KISA "아직까지 일반 이용자 피해 사례 없어"

(서울=뉴스1) 윤지원 기자 = '컴퓨터 역사상 최악의 결함'으로 꼽히는 '아파치 로그4제이(Apache Log4j) 2'의 보안 취약점이 지난주 발견돼 소프트웨어(SW) 업계에 비상이 걸렸다.

주요 정보통신기술(ICT) 기업 및 기관들 대부분이 사용하고 있어 업계에서 긴급 대응에 나선 가운데, 일반 이용자들 사이에서도 이에 대한 우려가 커지고 있다. 전문가들에 따르면 이번에 발견된 보안 취약점에 대해 일반 사용자가 별도로 대응할 부분은 없을 것으로 보인다.

보안 취약점이 발견된 로그4j는 아파치 소프트웨어 재단이 개발한 오픈소스 자바 로깅 프레임 워크다. 기업 홈페이지 등 인터넷 서비스 운영·관리 목적의 로그 기록을 남기기 위해 사용되는 프로그램이기 때문에 일반 이용자가 직접적으로 피해를 볼 가능성은 적다.

다만 이용자들에게 서비스를 제공하는 기업들이 이번 보안 취약점으로 인해 해킹을 당하면 그 여파가 이용자들에게까지 미칠 수 있다는 점이 문제로 지적된다.

특히 로그4j의 경우, 오픈소스기 때문에 세계적으로 수백만개의 애플리케이션(앱) 서비스가 로그 기록을 위해 이를 사용하고 있어 우려가 더 크다. 글로벌 서비스 중에는 애플 아이클라우드, 스팀, 마인크래프트 등에서 사용됐고, 국내에서도 많은 서비스들이 로그4j를 사용하고 있는 것으로 알려졌다.

문종현 이스트시큐리티 이사는 "웹 서비스하는 기업이 취약점으로 공격에 노출되면 일반 이용자가 인터넷 서핑이나 온라인 게임만 해도 악성 파일에 감염될 수 있다"며 "회사를 해킹하는 데서 끝나는 게 아니라 고객들한테도 영향을 미칠 수 있다"고 설명했다.

취약점의 공격 코드가 인터넷에 공개된 상태인 데다 공격의 난이도가 쉽기 때문에 우려가 더욱 커진다. 문 이사는 "취약점 공격에 사용되는 코드 자체가 간단히 구성돼 있다"며 "프로그램을 할 줄 아는 사람이라면 누구든 해커가 될 수 있는 수준"이라고 말했다.

일반 이용자들에게까지 영향을 미치지 않기 위해서 기업과 기관의 선제적인 보안 강화 대응이 필요하다는 목소리가 나온다.

박태환 안랩 시큐리티대응센터(ASEC) 대응팀장은 "이번 취약점을 활용한 보안위협이 발견 이전부터 이뤄졌을 수도 있다"며 "일반 사용자보다는 웹 서비스를 제공하고 있는 기업이나 기관에서 빠른 보안패치가 필요하다"고 밝혔다.

정부에서도 지난 주말부터 긴급 대응에 나섰다.

과학기술정보통신부는 지난 12일 Δ국가 기반시설 Δ정보보호관리체계(ISMS) 인증기업 758개사 Δ사이버 위협정보 분석·공유 시스템(C-TAS) 328개사 Δ클라우드 보안인증 기업 36개사 Δ웹호스팅사 477개사 Δ인터넷데이터센터(IDC) 16곳 등에 즉각 보안업데이트를 권고했다.

다만, 현재 일반 이용자들에 영향을 미치는 상황은 아니기 때문에 기업 및 기관 중심으로 보안 강화를 권고하고 추후에 대응하겠다는 입장이다.

한국인터넷진흥원(KISA) 관계자는 "현재는 관련해서 이용자 단말기 피해 사례가 확인된 게 없다"며 "추후에 이용자가 쓰는 단말이나 프로그램 중에 문제가 생기면 즉각적으로 공지 및 조치 방안을 안내할 예정"이라고 밝혔다.

g1@news1.kr