주요 기반시설 30곳, 취약점 발견된 아파치 Log4j 2 사용

민간분야 주요정보통신기반시설 147개 중 30개 시설이 최근 심각한 보안취약점이 발견된 아파치 로그4j(Apache Log4j) 2를 사용하고 있는 것으로 나타났다. 로그4j는 프로그램 작성 중 로그를 남기기 위해 사용되는 자바 기반 오픈소스 프로그램이다.

과학기술정보통신부는 아파치 로그4j 보안취약점 대응을 위한 긴급 정보보호 최고책임자(CISO) 간담회를 16일 개최했다. 취약점 관련 상황 전파 등 초동조치 이후 보다 체계적이고 신속한 보안조치를 위해 기업의 정보보안을 책임지는 CISO를 대상으로 취약점 대응현황을 긴급 점검하고, 피해 최소화를 위한 대응방안을 논의하는 자리였다.

이날 과기정통부는 이번 취약점 대응 관련으로 국민 기본생활과 경제 안정에 영향을 미칠 수 있는 정보통신, 금융, 의료 등 주요정보통신기반시설(90개 기관, 147개 시설)을 대상으로 로그4j 2에서 발견된 취약점 관련 긴급점검을 실시한 결과를 공개했다.

지난 12일부터 점검을 진행한 결과, 전체 민간분야 기반시설(147개 시설) 중 30개 시설(20.4%)가 Log4j 2를 사용하고 있는 것으로 조사됐고, 조속한 보안 패치가 완료될 예정이다.

이번 간담회에는 한국인터넷진흥원(KISA), 정보통신산업진흥원(NIPA), 한국정보보호최고책임자협의회, 한국공개소프트웨어협회, 한국정보보호산업협회와 국내 주요기업 CISO가 참석했다. 이 자리에선 Log4j 취약점 공격 방어전략, 취약여부 점검방법, 보안조치 방안 등 세부적인 취약점 대응 방안에 대한 정보 공유와 민`관 협력 대응방안 논의, 그간의 대응현황 공유가 이뤄졌다.

과기정통부 홍진배 정보보호네트워크정책관은 “Log4j 취약점의 영향을 받는 대상이 현재까지는 기업에서 운영하는 인터넷 서비스, 소프트웨어가 대부분으로 기업들은 CISO를 중심으로 신속하게 보안업데이트를 수행해야 한다”며 “일반 국민의 경우는 직접보안패치를 할 사항은 없으나 평소와 같이 백신프로그램 설치, 최신 보안업데이트 등 기본적인 정보보호 실천수칙을 잘 지켜달라”고 말했다.

홍 정책관은 “향후 일반 국민들이 사용하는 프로그램 등에 관련 취약점이 발견될 경우 즉각적인 보안조치 실시 등 국민 피해를 예방할 계획”이라고 덧붙였다.

과기정통부는 아파치 Log4j에 새로운 취약점이 계속 발견돼 보안패치된 신규버전(log4j 2.16.0(Java8이상), 2.12.2(Java7) 12.15기준)이 지속적으로 발표됨에 따라 관련 사항을 보호나라에 공지하고 있으니 주기적으로 확인하고 대응해줄 것을 당부했다.

한편, 과기정통부는 소프트웨어 관련 협회인 공개소프트웨어협회(회장 장재웅)와 한국소프트웨어산업협회(회장 조준희)를 통해 1만여개 소프트웨어 기업에 보안 업데이트 필요성을 긴급 공지한 바 있다. 또 지난 2018년부터 기업이 공개 소프트웨어를 활용해 소프트웨어 개발시 보안취약점을 미리 파악할 수 있도록 보안취약점 무료검사 서비스를 제공 중이다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network