[ICT시사용어]로그4j(Log4j)

박정은 2022. 2. 8. 14:59
자동요약 기사 제목과 주요 문장을 기반으로 자동요약한 결과입니다.
전체 맥락을 이해하기 위해서는 본문 보기를 권장합니다.

로그4j는 아파치재단이 지원·관리하는 자바 기반의 오픈소스 로깅 라이브러리다.

과학기술정보통신부 역시 지난해 말 발표한 '2022년 사이버위협 전망 보고서'에서 로그4j 취약점을 올해 주의해야 할 보안 위협 중 하나로 꼽았다.

이보다 앞서 과기정통부가 국내 주요 정보통신 기반 90개 기관, 147개 시설을 대상으로 로그4j 취약점 긴급 점검을 실시한 결과 민간 분야 147개 기반 시설 중 30개 시설에서 로그4j 2를 사용하고 있는 것으로 조사됐다.

닫기
음성재생 설정 이동 통신망에서 음성 재생 시 데이터 요금이 발생할 수 있습니다. 글자 수 10,000자 초과 시 일부만 음성으로 제공합니다.
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기

ⓒ게티이미지뱅크

ⓒ게티이미지뱅크

로그4j는 아파치재단이 지원·관리하는 자바 기반의 오픈소스 로깅 라이브러리다. 서버·프로그램 유지 관리 중 발생하는 모든 기록 관리를 지원한다. 민간 기업은 물론 금융, 의료 등 주요 정보통신기반시설과 기관 등에서 광범위하게 활용되고 있다.

지난해 12월 로그4j에 치명적인 보안 취약점이 발견되면서 전 세계에 비상이 걸렸다. 악의적 의도를 가진 해커가 로그4j의 취약점을 공격하면 비밀번호 없이 내부망에 접근해 데이터를 엿보거나 탈취할 수 있다. 랜섬웨어와 같은 악성코드를 심어 시스템을 마비시키는 것도 가능하다.

오픈소스 소프트웨어(SW)에 대한 보안이 국가 안보를 위협하는 수준에 이르면서 각국 정부도 긴급 대응에 나섰다. 올해 초 미국 정부는 백악관에서 국방부, 국토안보부 산하 사이버보안·인프라 안보국, 아파치재단, 구글, 애플, 아마존, MS 등 주요 IT기업과 함께 로그4j 취약점과 잠재적 보안 위협에 대한 대책을 논의했다.

과학기술정보통신부 역시 지난해 말 발표한 '2022년 사이버위협 전망 보고서'에서 로그4j 취약점을 올해 주의해야 할 보안 위협 중 하나로 꼽았다. 이보다 앞서 과기정통부가 국내 주요 정보통신 기반 90개 기관, 147개 시설을 대상으로 로그4j 취약점 긴급 점검을 실시한 결과 민간 분야 147개 기반 시설 중 30개 시설에서 로그4j 2를 사용하고 있는 것으로 조사됐다.

보안업계는 로그4j 취약점이 공개된 이후 해킹 여부를 확인할 수 있는 무료 점검 툴을 배포하고 보안 패치 적용 등을 적용했다. 아직 국내에서 피해 사례가 보고되지 않았지만 지속적인 모니터링과 업데이트를 통해 면밀한 대응이 필요하다.

박정은기자 jepark@etnews.com

Copyright © 전자신문. 무단전재 및 재배포 금지.

전자신문에서 직접 확인하세요. 해당 언론사로 이동합니다.