한자로 한글한자자동변환기

世界通用 서버SW ‘最惡保安구멍’… 國內企業等數萬곳 해킹 危險

김성모 記者

入力 2021-12-13 03:00 修正 2021-12-13 06:26

댓글보기

폰트

뉴스듣기

記事共有 |

“컴퓨팅 歷史上 가장 큰 脆弱點”

《인터넷 서버에 널리 쓰이는 소프트웨어에서 致命的인 弱點이 밝혀져 글로벌 情報技術(IT) 業界가 바짝 緊張하고 있다. 해커들이 惡用할 境遇 손쉽게 서버를 奪取해 컴퓨터를 遠隔操縱하는 것도 可能한 것으로 알려졌다. ‘인터넷 歷史를 통틀어 最惡의 保安缺陷’이라는 評價까지 나올 程度다. 國內에서도 國家機關 및 企業大部分이 이 소프트웨어를 利用하고 있어 迅速한 對備가 必要하다는 指摘이 나온다.》

“全世界 인터넷이 불타고 있다(The Internet is on fire right now).” ―美國 사이버保安業體 크라우드스트라이크의 애덤 마이어스 副社長

情報技術(IT) 企業과 政府機關等全世界大多數 인터넷 서버에서 廣範圍하게 쓰이는 소프트웨어(SW)에서 致命的인 保安脆弱點이 發見돼 警告燈이 켜졌다. 祕密番號 없이도 손쉽게 데이터를 빼 가거나 惡性 프로그램을 심을 수 있다. 國內에서도 大部分 이 소프트웨어를 쓰고 있어 國家機關 및 企業數만 곳이 해킹 被害를 볼 수 있다는 憂慮가 나온다. 政府當局은 被害를 막기 爲해 緊急保安 업데이트를 勸告하는 等卽刻對應에 나섰다.

12日 AP通信等에 따르면 아파치 소프트웨어財團이 開發한 자바 基盤 인터넷 서버用 소프트웨어인 ‘로그4j(Log4j) 2’에서 致命的인 保安脆弱點이 發見됐다. 로그4j는 인터넷 서버의 維持 및 管理를 위해 接續記錄이나 시스템 이벤트, 開發過程等各種動作을 記錄하는 ‘로깅 프로그램’이다.

이 소프트웨어는 無料로 配布되는 ‘오픈 소스’여서 애플, 아마존, 트위터 等 글로벌 IT 企業부터 政府機關, 中小型 IT 會社까지 相當數機關企業이 웹이나 애플리케이션(앱)을 開發 및 運營할 때 活用해 왔다. 國內에서도 서버를 運營하는 多數會社가 이를 使用中인 것으로 알려져 있다. 韓國인터넷振興院(KISA)에 따르면 이 脆弱點은 이달 初中國의 알리바바 클라우드 保安팀에서 처음 發見했고 아파치 財團에서 이달 6日 해킹을 막는 업데이트를 재빠르게 내놓았다.

그런데 10日 인터넷 開發者들이 利用하는 커뮤니티에서 具體的인 해킹 方法이 公開되면서 各國의 保安當局과 글로벌 IT 會社들이 多急하게 움직이기 始作했다. 이동근 KISA 侵害事故分析團長은 “로그4j에서 非正常的인 命令을 實際로 作動시키는 具體的인 方法이 海外 커뮤니티 等을 통해 公開됐다”고 했다. 實際로 歷代 비디오게임 販賣量 1位인 온라인게임 ‘마인크래프트’에서 이를 活用한 해킹 試圖가 있었던 것으로 알려졌다. 該當 게임을 運營中인 마이크로소프트는 卽時保安 업데이트를 適用했다.

專門家들은 이番에 發見된 脆弱點을 利用하면 해커들이 目標로 삼은 컴퓨터의 모든 權限을 取得할 수 있다고 憂慮했다. 祕密番號 없이도 서버를 통해 컴퓨터 內部網에 接近해 데이터를 掠奪 또는 削除하거나 惡性 프로그램을 심어 實行시킬 수 있다는 것이다.

아파치 財團도 이 脆弱點의 保安威脅水準을 1∼10段階中最高等級인 ‘10段階’라고 評價했다. 保安業體인 ‘텐에이블’의 아미트 搖亂最高經營者(CEO)는 “只今危險에 處하지 않은 會社가 없다. 아마 현대 컴퓨팅 歷史上 가장 큰 脆弱點이 될 것”이라며 “最大限措置를 서둘러야 한다”고 警告했다.

政府는 아직 國內被害事例는 없는 것으로 把握하고 있지만 빠른 保安 업데이트를 當付했다. 國家情報院은 “11日 0時부터 實態把握과 情報共有, 保安 패치 案內等先制的措處를 取했다”며 “緊急點檢結果現在까지 로그4j 2 關聯國家·公共機關對象 해킹 被害事例는 없는 것으로 確認됐다”고 했다.

科學技術情報通信部는 KISA의 ‘保護나라’ 웹사이트(www.boho.or.kr)를 통해 必要한 保安措處를 案內하고 있다. 國家基盤施設과 웹호스팅 會社 477곳, 情報保護管理體系引證企業 758곳, 各企業情報保護最高責任者(CISO) 2萬3835名等에게 保安脆弱點을 알리고 卽刻的인 實行을 勸告했다. KISA에 따르면 로그4j가 企業 홈페이지나 서버 管理目的으로 使用되는 프로그램이어서 當場은 一般利用者가 對應할 必要가 없지만 向後個人이 活用하는 소프트웨어에서 該當問題가 發生할 境遇 업데이트가 必要할 수도 있다.

이상진 고려대 情報保護大學院長은 “國內 IT 企業相當數가 該當 소프트웨어를 쓰고 있는 것으로 알고 있다”며 “웹 서버를 構築한 곳은 大部分問題가 될 수 있기 때문에 一旦保安 패치를 設置하고 또 다른 問題가 있을지 精密調査해야 한다”고 했다.

김성모 記者 mo@donga.com