끝나지 않은 Log4j 취약점 여파..美 CISA "긴장 풀지 말아야"
전체 맥락을 이해하기 위해서는 본문 보기를 권장합니다.
오픈소스에서 등장한 '로그4j(Log4j)' 보안위협 여파가 짧게는 수개월, 길게는 수년 간 지속될 것이라는 경고가 나왔다.
10일(현지시간) 월스트리트저널(WSJ)에 따르면, 미 사이버 보안 및 기반 시설 보안국(CISA)은 Log4j에 대한 사이버 공격에 장기적으로 대응할 계획이라고 밝혔다.
그는 "Log4j 코드의 결함과 관련한 미국 내 대규모 사이버 공격이 확인되지 않았지만, 사이버 범죄자들이 긴장감을 낮추기 위해 시간을 벌고 있을 것"이라고 경고했다.
이 글자크기로 변경됩니다.
(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.
오픈소스에서 등장한 '로그4j(Log4j)' 보안위협 여파가 짧게는 수개월, 길게는 수년 간 지속될 것이라는 경고가 나왔다.
10일(현지시간) 월스트리트저널(WSJ)에 따르면, 미 사이버 보안 및 기반 시설 보안국(CISA)은 Log4j에 대한 사이버 공격에 장기적으로 대응할 계획이라고 밝혔다.
젠 이스털리 CISA 국장은 브리핑에서 “Log4j가 범용 소프트웨어(SW)인 만큼 잠재적인 범죄 규모가 크고 위협이 심각한 수준”이라면서 “미국 내 중요 인프라를 통제하는 네트워크에 대한 장기적인 위험이 우려된다”고 설명했다.
그는 “Log4j 코드의 결함과 관련한 미국 내 대규모 사이버 공격이 확인되지 않았지만, 사이버 범죄자들이 긴장감을 낮추기 위해 시간을 벌고 있을 것”이라고 경고했다.
오픈소스(무료) 로깅 라이브러리 Log4j는 프로그램 동작 과정에서 일어나는 일련의 기록을 남기기 위해 이용하는 프로그램이다. 거의 모든 서버가 이 라이브러리를 사용 중인 것으로 알려져 있어 취약점이 발견된 당시 업계가 발칵 뒤집혔다.
현재까지 Log4j 취약점과 관련한 범죄는 대부분 암호화폐(가상화폐) 채굴 SW를 공격하거나 취약 기기를 좀비 PC로 만드는 '봇네트' 코드를 심는 수준이다.
이스털리 국장은 CISA가 모든 기업의 피해를 파악하기에는 한계가 있다는 설명도 덧붙였다.
2017년 약 1억 5000만에 달하는 미국인 개인정보가 유출된 '에퀴팩스 데이터 침해 사건' 역시 오픈소스 취약성에서 비롯됐다. 지난 달 벨기에 국방부 역시 Log4j와 관련한 시스템 침입을 보고한 만큼 향후 Log4j 공격을 예방하기 위한 업계의 지속적인 감시가 요구된다.
전자신문인터넷 서희원기자 shw@etnews.com
Copyright © 전자신문. 무단전재 및 재배포 금지.