“컴퓨팅 歷史上 가장 큰 脆弱點”
《인터넷 서버에 널리 쓰이는 소프트웨어에서 致命的인 弱點이 밝혀져 글로벌 情報技術(IT) 業界가 바짝 緊張하고 있다. 해커들이 惡用할 境遇 손쉽게 서버를 奪取해 컴퓨터를 遠隔操縱하는 것도 可能한 것으로 알려졌다. ‘인터넷 歷史를 통틀어 最惡의 保安 缺陷’이라는 評價까지 나올 程度다. 國內에서도 國家機關 및 企業 大部分이 이 소프트웨어를 利用하고 있어 迅速한 對備가 必要하다는 指摘이 나온다.》
“全 世界 인터넷이 불타고 있다(The Internet is on fire right now).” ―美國 사이버保安業體 크라우드스트라이크의 애덤 마이어스 副社長
情報技術(IT) 企業과 政府機關 等 全 世界 大多數 인터넷 서버에서 廣範圍하게 쓰이는 소프트웨어(SW)에서 致命的인 保安 脆弱點이 發見돼 警告燈이 켜졌다. 祕密番號 없이도 손쉽게 데이터를 빼 가거나 惡性 프로그램을 심을 수 있다. 國內에서도 大部分 이 소프트웨어를 쓰고 있어 國家機關 및 企業 數만 곳이 해킹 被害를 볼 수 있다는 憂慮가 나온다. 政府 當局은 被害를 막기 爲해 緊急 保安 업데이트를 勸告하는 等 卽刻 對應에 나섰다.
12日 AP通信 等에 따르면 아파치 소프트웨어財團이 開發한 자바 基盤 인터넷 서버用 소프트웨어인 ‘로그4j(Log4j) 2’에서 致命的인 保安 脆弱點이 發見됐다. 로그4j는 인터넷 서버의 維持 및 管理를 위해 接續 記錄이나 시스템 이벤트, 開發 過程 等 各種 動作을 記錄하는 ‘로깅 프로그램’이다.
이 소프트웨어는 無料로 配布되는 ‘오픈 소스’여서 애플, 아마존, 트위터 等 글로벌 IT 企業부터 政府機關, 中小型 IT 會社까지 相當數 機關 企業이 웹이나 애플리케이션(앱)을 開發 및 運營할 때 活用해 왔다. 國內에서도 서버를 運營하는 多數 會社가 이를 使用 中인 것으로 알려져 있다. 韓國인터넷振興院(KISA)에 따르면 이 脆弱點은 이달 初 中國의 알리바바 클라우드 保安팀에서 처음 發見했고 아파치 財團에서 이달 6日 해킹을 막는 업데이트를 재빠르게 내놓았다.
그런데 10日 인터넷 開發者들이 利用하는 커뮤니티에서 具體的인 해킹 方法이 公開되면서 各國의 保安當局과 글로벌 IT 會社들이 多急하게 움직이기 始作했다. 이동근 KISA 侵害事故分析團長은 “로그4j에서 非正常的인 命令을 實際로 作動시키는 具體的인 方法이 海外 커뮤니티 等을 통해 公開됐다”고 했다. 實際로 歷代 비디오게임 販賣量 1位인 온라인게임 ‘마인크래프트’에서 이를 活用한 해킹 試圖가 있었던 것으로 알려졌다. 該當 게임을 運營 中인 마이크로소프트는 卽時 保安 업데이트를 適用했다.
專門家들은 이番에 發見된 脆弱點을 利用하면 해커들이 目標로 삼은 컴퓨터의 모든 權限을 取得할 수 있다고 憂慮했다. 祕密番號 없이도 서버를 통해 컴퓨터 內部網에 接近해 데이터를 掠奪 또는 削除하거나 惡性 프로그램을 심어 實行시킬 수 있다는 것이다.
아파치 財團도 이 脆弱點의 保安 威脅 水準을 1∼10段階 中 最高 等級인 ‘10段階’라고 評價했다. 保安業體인 ‘텐에이블’의 아미트 搖亂 最高經營者(CEO)는 “只今 危險에 處하지 않은 會社가 없다. 아마 현대 컴퓨팅 歷史上 가장 큰 脆弱點이 될 것”이라며 “最大限 措置를 서둘러야 한다”고 警告했다.
政府는 아직 國內 被害 事例는 없는 것으로 把握하고 있지만 빠른 保安 업데이트를 當付했다. 國家情報院은 “11日 0時부터 實態 把握과 情報 共有, 保安 패치 案內 等 先制的 措處를 取했다”며 “緊急 點檢 結果 現在까지 로그4j 2 關聯 國家·公共機關 對象 해킹 被害 事例는 없는 것으로 確認됐다”고 했다.
科學技術情報通信部는 KISA의 ‘保護나라’ 웹사이트(www.boho.or.kr)를 통해 必要한 保安 措處를 案內하고 있다. 國家 基盤施設과 웹호스팅 會社 477곳, 情報保護 管理體系 引證企業 758곳, 各 企業 情報保護最高責任者(CISO) 2萬3835名 等에게 保安 脆弱點을 알리고 卽刻的인 實行을 勸告했다. KISA에 따르면 로그4j가 企業 홈페이지나 서버 管理 目的으로 使用되는 프로그램이어서 當場은 一般 利用者가 對應할 必要가 없지만 向後 個人이 活用하는 소프트웨어에서 該當 問題가 發生할 境遇 업데이트가 必要할 수도 있다.
이상진 고려대 情報保護大學院長은 “國內 IT 企業 相當數가 該當 소프트웨어를 쓰고 있는 것으로 알고 있다”며 “웹 서버를 構築한 곳은 大部分 問題가 될 수 있기 때문에 一旦 保安 패치를 設置하고 또 다른 問題가 있을지 精密 調査해야 한다”고 했다.
김성모 記者 mo@donga.com