'로그4j' 허점 비상..열흘전 공격 시도 있었다

클라우드플레어·시스코 등 보고.."전세계 기업 3곳 중 1곳 공격 받아"

(지디넷코리아=김윤희 기자)인터넷 서버 다수가 사용하는 자바 기반 오픈소스 로깅 라이브러리 '로그4j'에서 보안 취약점이 발견됨에 따라, 보안업계가 촉각을 곤두세우고 있다. 이런 가운데 취약점이 발표되기 열흘 전부터 이를 악용한 공격 시도가 포착된 것으로 나타났다.

이번 취약점은 지난달 24일 알리바바 클라우드가 로그4j를 개발한 아파치 재단에 보고하면서 알려졌다. 관련 정보는 지난 10일 깃허브에 처음 공개됐다. 

'로그4쉘(Log4shell)'이라는 이름이 붙은 이번 취약점은 원격코드실행(RCE)이 가능하며, 쉽게 악용할 수 있어 보안에 매우 치명적인 것으로 평가된다. 취약점 등급 시스템(CVSS) 점수도 10점 만점에 10점을 받았다.

로그4j가 광범위하게 사용되고 있어 영향을 받는 서비스도 상당수라는 게 보안업계 분석이다. 취약점이 처음 발견된 마인크래프트를 비롯해 아이클라우드, 스팀, 클라우드플레어 등 주요 글로벌 서비스도 이번 취약점의 영향권에 있는 것으로 조사됐다.

(사진=픽사베이)

12일 클라우드플레어 최고경영자(CEO)인 매튜 프린스는 트위터를 통해 "현재까지 로그4j 취약점 공격이 발견된 최초 시점은 지난 1일 4시 36분 경"이라며 "취약점 정보가 공개되기 최소 9일 전부터 공격이 있었다는 것"이라고 언급했다. 다만 대량 침투 공격 흔적은 찾지 못했다고 덧붙였다.

글로벌 보안 기업들도 잇따라 로그4쉘 관련 공격을 포착했다고 보고했다. 시스코의 보안 전문 조직 탈로스도 지난 2일부터 로그4쉘 관련 공격 활동을 포착했다고 발표했다. 해커를 유인하는 장치인 '허니팟'과 센서 등을 활용해 침투할 네트워크를 찾기 위한 대량 스캔 시도, 이번 취약점을 악용한 미라이 봇넷 공격 시도를 발견했다.

중국 보안 기업 넷랩도 리눅스 기기를 대상으로 로그4쉘 취약점을 악용한 랜섬웨어 '무스틱(Muhstik)' 및 미라이 봇넷 공격 시도 정황을 포착했다고 밝혔다.

글로벌 보안 기업 체크포인트는 12일 "로그4쉘 관련 공격 시도 47만건 이상을 탐지해 보호했으며, 이 중 45% 이상이 이미 알려진 악성 그룹에 의해 수행됐다"고 자사 블로그에서 알렸다.

이어 "전세계 기업 네트워크 중 31.5%에 대해 악용 시도가 관찰됐다"며 "이 취약점은 보안 패치를 적용하기 복잡하고, 악용이 용이하기 때문에 즉각 보안 조치를 취하지 않은 경우 향후 몇 년간 지속될 관련 공격에 노출될 것"이라고 당부했다.

국내 보안업계도 이번 취약점의 여파에 주목하고 있다. 보안 관제 전문 기업인 이글루시큐리티 관계자는 "각 고객사 별로 로그4쉘 취약점의 영향을 받는 시스템 검색 시도를 탐지할 수 있는 침입방지시스템(IPS)·웹애플리케이션방화벽(WAF) 탐지 패턴을 업데이트했다"며 "패턴 업데이트를 통해 많은 공격 시도가 포착될 것으로 예상된다"고 전망했다.

국가정보원, 한국인터넷진흥원(KISA) 등에 따르면 현재까지 국내 공공기관·기업에서 이번 취약점 공격 피해 사례는 없는 상황이다. 

김윤희 기자(kyh@zdnet.co.kr)