인터넷 서비스 개발에 직·간접적으로 사용되는 공개 소프트웨어(SW) ‘로그4j(Log4j)’가 보안에 취약한 점이 드러나 벨기에 국방부가 해킹 공격을 받는 등 전 세계적으로 파장이 커지고 있다.

24일 방산·보안업계 등에 따르면 벨기에 국방부는 최근 로그4j의 보안 취약성을 이용한 사이버 공격을 받았다고 발표했다. 북대서양조약기구(NATO) 동맹국 중 처음으로, 이로 인해 일부 국방부 업무가 일시적으로 중단된 것으로 알려졌다. 앞서 마이크로소프트(MS) 등 사이버 보안 전문가들은 중국·이란·북한·터키 등의 지원을 받는 해킹 그룹이 이 취약점을 이용해 네트워크 해킹 공격을 시작했다고 경고한 바 있다.

로그4j 취약점 패킷 탐지 사례. /지니언스 제공

로그4j는 오픈 소스 프로젝트를 지원하는 비영리단체인 아파치 재단이 배포하는 자바(JAVA) 기반 소프트웨어다. 방문자의 접속기록과 같은 인터넷 서비스 운영과 유지 관리 등 모든 기록을 관리할 수 있는데, 이를 공격하면 비밀번호 없이 외부에서 접근해 데이터를 훔치거나 랜섬웨어 등 악성코드를 실행할 수 있다는 점이 이번에 발견됐다. 로그4j를 직접 쓰지 않더라도 사용 중인 오픈 소스 라이브러리가 이 소프트웨어에 의존해 사실상 대다수 정부 기관 및 기업이 직·간접적으로 이 소프트웨어를 사용하고 있는 것으로 추정된다.

국내에선 아직 피해 사례가 확인되지 않았지만, 해킹 시도는 꾸준히 늘고 있다. 글로벌 소프트웨어 기업 아크로니스에 따르면, 지난 주말에 전 세계에서 로그4j 관련 공격 시도가 전주 대비 300배 늘었다. 우리나라의 경우 로그4j를 사용하는 정보통신·금융·의료 등 국내 주요 정보통신기반시설은 과학기술정보통신부 조사 결과 147개 중 30곳(약 20%)에 달한다. 많은 기업이 자사 인프라를 직접 개발하지 않다 보니 로그4j가 어떤 시스템에 적용됐는지, 버전이 무엇인지 등 모르는 경우가 많아 실제 사용 시설은 더 많을 수 있다.

정부와 보안업계는 빠르게 대비책을 마련하고 있다. 과학기술정보통신부는 앞서 파악한 로그4j 사용 시설을 대상으로 보안패치를 실시했다. 아울러 체계적인 후속 보안조치를 위해 기업의 정보보안을 책임지는 정보보호최고책임자(CISO)를 대상으로 취약점 대응현황을 긴급 점검했다. 또 소프트웨어 관련 협회를 통해 1만여개 소프트웨어 기업에 보안 업데이트 필요성을 긴급 공지하기도 했다.

일러스트=정다운

이스트소프트(047560)의 보안 자회사 이스트시큐리티, AI(인공지능) 보안 기업 로그프레소, 취약점 분석 전문 업체 아이오티큐브 등은 무료 점검 도구를 배포하고 있다. 더존비즈온(012510)은 무료로 긴급 업데이트를 지원했고, 안랩(053800)은 자사 제품을 통해 취약점 탐지가 가능하다고 설명했다. LG CNS는 로그4j와 관련해 도움이 필요한 기업에 전화상담을 제공하는 ‘헬프데스크’를 운영하고 있다. 앞서 공격자 의심 IP 차단, 웹 애플리케이션 방화벽(WAF) 설정 등 로그4j 보안 가이드라인을 배포하기도 했다.

보안업계 관계자는 “기존에 남아 있는 기록을 통해서도 해커가 침투할 수 있어 로그4j 사태가 장기화될 것으로 보인다”면서 “국내도 해커의 침투 흔적이 발견되는 등 안심할 수 없는 상황으로, 보안 패치를 받아 대비해야 한다”고 말했다.