공격 실행 가능한 아파치 로그4J 보안취약점 발견…“긴급 보안 업데이트해야”

과학기술정보통신부는 12일 아파치 로그4j(Apache Log4j) 2 서비스에 대한 보안취약점이 발견돼 긴급 보안 업데이트를 권고했다.

이 취약점을 공격자가 악용할 경우 악성코드 감염 등의 피해를 발생시킬 수 있으므로 보호나라 보안공지에 따라 긴급하게 보안조치를 해줄 것을 과기정통부는 당부했다.

로그4j란 기업 홈페이지 등 인터넷 서비스 운영 관리 목적의 로그기록을 남기기 위해 사용하는 프로그램으로 업데이트를 수행하지 않을 경우, 취약점을 악용해 공격자가 원격에서 공격코드를 실행시킬 수 있어 심각한 피해를 입을 수 있다. 따라서 이용자는 신속한 업데이트를 적용해야 한다.

아파치재단은 이 취약점을 해결한 보안 업데이트를 지난 6일 발표했다.

과기정통부는 하루 전 보호나라 홈페이지에 즉시 보안 업데이트를 적용해야 한다고 공지한 데 이어 기반시설, 정보보호관리체계(ISMS) 인증기업(758개사), 정보보호최고책임자(CISO)(2만3835명), 사이버위협정보 분석·공유시스템(C-TAS)(328개사), 클라우드 보안인증 기업(36개사), 웹호스팅사(477개사), 인터넷데이터센터(IDC)(16곳) 등을 대상으로 긴급 전파했다. 관련 서버를 사용하는 기업들에게도 신속한 조치를 강조했다.

이 공지에 따르면, 이번 취약점(CVE-2021-44228)에 영향을 받는 아파치 로그4J 2 버전은 2.0-베타(beta)9qnxj 2.14.1 모든 버전이다.

이번에 발견된 보안취약점 조치 사항은 한국인터넷진흥원(KISA)이 운영하는 보호나라 홈페이지 보안공지를 참고하고 국번없이 118로 상담을 요청하면 조치 여부 등을 자세하게 안내받을 수 있다.

공개SW협회는 이번 로그4j 2 보안취약점을 두고 “컴퓨터 역사상 최악 취약점”이라고 지칭하며 사용 기업 등의 피해를 최소화하기 위해 긴급 공지를 냈다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network