아파치재단에서 개발한 오픈소스 자바 로깅 라이브러리 로그4j(Log4j)2에서 심각한 보안취약점이 발견돼 전파된 지 2~3주 가까이 지났지만 여전히 국내를 포함해 전세계가 긴급 대응에 분주하다.

과학기술정보통신부와 한국인터넷진흥원(KISA), 공개소프트웨어(SW)협회 등은 주말이었던 지난 12일, 국내에 로그4j 2 서비스에 대한 보안취약점 발견 소식을 긴급 전파하면서 보안업데이트를 적용할 것을 권고했다.

만일 업데이트를 수행하지 않을 경우 취약점을 악용해 공격자가 원격에서 공격코드를 실행시킬 수 있어 심각한 피해를 입을 수 있다는 것. 이 때 발견된 취약점은 로그4j 2에서 발생하는 원격코드 실행 취약점(CVE-2021-44228) 하나였지만, 한 주 사이에 추가 원격코드 실행 취약점(CVE-2021-45046)과 함께 특정 조건이 충족되면 프로세스 종료와 서비스거부(DoS) 공격을 일으킬 수 있는 취약점(CVE-2021-45105), 그리고 로그4j 1 버전에서도 발생하는 취약점(CVE-2021-4104)이 추가로 나왔다.

<출처 : 맨디언트 블로그>

Log4j는 인터넷 서비스 운영과 유지 관리를 위해 서비스 동작 과정에서 일어나는 모든 기록을 관리할 수 있는 프로그램이다. 대다수의 기업들이 서버관리를 위해 사용하고 있는 것으로 알려져, 정부와 IT업계가 긴급 대응을 계속 진행하고 있다.

과기정통부는 이번 취약점 대응을 위해 국민 기본생활과 경제 안정에 영향을 미칠 수 있는 정보통신, 금융, 의료 등 주요정보통신기반시설(90개 기관, 147개 시설)을 대상으로 로그4j 2에서 발견된 취약점 관련 긴급점검을 실시했다. 또 보다 체계적이고 신속한 보안조치를 위해 기업의 정보보호최고책임자(CISO) 간담회도 열고 대응현황과 더불어 피해 최소화를 위한 취약점 점검 방법과 보안조치 방안 등을 공유했다.

로그프레소, 이스트시큐리티, 안랩, 에스에스알, SK쉴더스, LG CNS, 티맥스소프트, 파수, 파이오링크, 한국트렌드마이크로 등 국내외 주요 소프트웨어·보안 업체들도 취약점 관련 정보를 안내하고, 발견된 취약점과 해킹 여부를 확인할 수 있는 점검 툴과 진단 서비스를 비롯해 대응 방법을 제공하고 나섰다.

KISA에 따르면, 지난 17일 오후 현재까지 국내에서 로그4j 관련 침해 신고가 접수된 것은 없다. 하지만 보안취약점 여럿 발견되고 있는데다 중국, 이란, 북한, 터키 등 국가 기반 해킹그룹이 공격 활동을 벌이고 있는 것으로 관측되고 있다. 이와 관련해서는 마이크로소프트와 맨디언트, 체크포인트 등이 공격그룹 활동을 포착했다고 알렸다.

맨디언트는 “취약점이 공개된 이후 암호화폐 채굴과 관련된 재정적 동기를 가진 행위자들은 처음으로 표적을 대량으로 악용했다. 앞으로 더 많은 행위자들이 취약점을 더 많이 악용해 수익 창출 활동으로 이어질 것으로 예상된다. 데이터 탈취, 랜섬웨어 배포 등이 포함된다. 이들은 제로데이나 원데이 익스플로잇 작업을 신속하게 진행하는 것으로 알려져 있다”고 밝혔다.

국내에는 아직 사례가 없지만 해외에서는 지난 20일(현지시간) 벨기에 국방부가 로그4j 취약점 공격 피해를 입었다는 소식이 외신 보도로 전해졌다. 벨기에 국방부가 인터넷에 연결된 일부 컴퓨터 네트워크 공격으로 며칠 동안 사용이 중단됐는데, 로그4j 취약점 공격으로 추정하고 있다.

이번 로그4j 취약점 발견으로 지난 2014년 ‘하트블리드(Heartbleed)’ 오픈SSL(Secure Socket Layer) 보안취약점 이슈 이후 오픈소스 보안 문제가 또다시 크게 불거졌다. 공개SW협회는 긴급 공지와 상황 전파에 나서면서 이번 보안취약점을 두고 “컴퓨터 역사상 최악의 취약점”이라고 지칭하기도 했다.

이번 취약점 대응이 어려운 데에는 널리 사용되고 있고 취약점이 계속 발견되고 있는데다, 많은 SW 제조사(벤더)와 사용기업들이 로그4j 사용 여부를 제대로 파악하지 못하는 경우가 많기 때문이라는 진단이 나오고 있다. 사용 여부를 알지 못하면 보안취약점 식별과 긴급 패치 적용으로 이어지는 대응도 힘들 수밖에 없다. 조치가 늦어지면 당연히 빠르게 움직이고 있는 공격자들로부터 악용될 가능성도 커진다. 이와 더불어 벤더가 사용하는 폐쇄형 관리 시스템, 그리고 테스트 환경이나 생산 환경에서 사용하고 있는 시스템이지만 유지보수 지원이 중단된 소프트웨어가 적용된 경우도 많이 있을 수 있기 때문에 취약점이 그대로 노출될 수 있다는 우려가 나오고 있다.

과기정통부는 “최근 발생한 로그4j 사용이 광범위하고 또 사용 식별이 쉽지 않고 직접 개발하지 않은 협력사 구매제품(서드파티) 도입 제품의 경우, 해당 업체가 보안업데이트를 제공할 때까지 기다려야 하는 어려움 등이 있어 장기전에 대비해야 한다”고 강조하고 있다.

과기정통부는 KISA가 운영해온 사이버위협정보 분석·공유시스템(C-TAS)를 개편, 원하는 모든 기업이 회원으로 가입해 위협정보를 제공받을 수 있도록 개방한다. 회원사들과 함께 로그4j를 사용하는 정보자산 식별, 보안패치 및 업데이트 방법, 취약점 악용하는 IP공유 및 차단방법 등 방어전략 등을 공유해 장기화 될 것으로 예상되는 로그4j 취약점 대응을 C-TAS를 통해 체계적이고 효과적인 협력 대응으로 장기화에 대비할 계획이다.

한편, 오픈소스는 누구나 자유롭게 사용할 수 있도록 공개돼 있는 소프트웨어나 소스코드를 말한다. 오픈소스 사용자들은 오픈소스 보안이슈 모니터링부터 보안패치와 버전 업데이트 등까지 모든 관리를 스스로 수행해야 한다. 하지만 오픈소스를 사용하는 개발자가 많고 활용 방식과 적용 범위가 넓을수록 관리하는 것이 쉽지 않은 상황이다.

자신들이 사용하는 오픈소스를 체계적으로 관리하지 않을 경우 특정 보안취약점이 발견되더라도 위험성을 인지하지 못하는 상황이 발생할 수 있다. 이로 인해 오픈소스 보안취약점이 수년간 방치되는 일이 비일비재하다. 기업에서 개발했거나 사용 중인 제품·서비스에 어떠한 오픈소스가 사용되고 있고 무슨 보안취약점이 존재하는지 알지 못한다면 사이버공격에 무방비 상태로 노출될 수 있다.

이번 이슈는 이같은 오픈소스 소프트웨어 보안관리 필요성 뿐만 아니라 소프트웨어 개발부터 유지보수 단계까지 전체 수명주기(소프트웨어개발수명주기, SDLC) 보안관리 강화 필요성은 물론, 소프트웨어 공급망 보안의 중요성까지 다시금 일깨워주는 계기가 되고 있다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network