"서버 보안 최악 결함"..발칵 뒤집힌 IT업계

이시은/서민준 2021. 12. 12. 18:03
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
인터넷 서버 개발 SW서
사상 초유의 약점 드러나
마인크래프트 게임서 첫 발견
코드 몇 개로 서버 탈취해
해커가 컴퓨터 원격조작 가능
정부, 부랴부랴 보안패치 권고

‘인터넷 역사를 통틀어 최악의 보안 결함이 발견됐다.’

글로벌 정보기술(IT)업계가 발칵 뒤집혔다. 인터넷 서버 개발에 ‘약방의 감초’처럼 쓰이는 소프트웨어(SW)에서 치명적인 취약점이 발견되면서다. 프로그램 개발에 사용하는 ‘기록 도구’를 악용할 수 있다는 게 문제인데, 해커가 원격으로 해당 기업이나 단체의 중앙컴퓨터까지 조작할 수 있는 수준으로 알려지면서 파장이 일파만파로 커지고 있다. 각국이 빠르게 대처하고 있는 가운데 정부도 긴급 보안 업데이트 등 조치에 나섰다.

 코드 몇 개로 서버 탈취…세계가 ‘깜짝’

과학기술정보통신부는 이번 사태의 문제 SW로 지목된 ‘아파치 Log4j 2’ 서비스에 대한 긴급 보안패치를 권고했다고 12일 밝혔다. 기업 최고정보책임자(CISO) 2만3835명과 정보 보호 및 개인정보 보호 관리체계(ISMS) 인증을 받고 민감 정보를 다루는 기업 758곳, 웹호스팅 회사 477곳 등이 권고 대상이다. 이들은 한국인터넷진흥원(KISA) 안내에 따라 최신 버전 업데이트를 한 것으로 알려졌다.

문제가 된 Log4j는 인터넷 서비스 개발에 쓰이는 도구다. 개발자들이 쉽게 쓸 수 있도록 특정 기능을 한 덩어리로 만든 ‘라이브러리’ 형태로 존재한다. Log4j는 프로그램 개발 기록(로그)을 빠르고 쉽게 모아준다. 개발자로서는 이 기록 덕분에 ‘디버그(오류 수정)’ 시간이 대폭 줄어드는 셈이다. 핵심 프로그래밍 언어 중 하나인 ‘자바(JAVA)’가 기반이라 사실상 대다수 기업이 직간접적으로 해당 라이브러리를 사용하는 것으로 추산된다.

Log4j 개발 기관인 미국 오픈소스 비영리재단 아파치소프트웨어는 이번 위협 수준을 1~10단계 중 최고 등급인 ‘10단계’로 진단했다. 공격 방법이 간단한 데 비해 그 부작용이 엄청나기 때문이다. 해커가 짧은 공격 코드를 기록 어딘가에 끼워넣기만 해도 서버 관리 권한을 탈취할 수 있는 것으로 전해졌다. 이동근 KISA 침해대응단장은 “아파치 측에서 버전 2를 개발하며 새로운 기능을 넣다가 코딩 실수를 한 것으로 파악된다”며 “로그 관리에선 가장 많이 쓰이는 SW고 누구나 자유롭게 이용하는 오픈소스 기반이라 파장이 커질 수 있다”고 말했다.

 “역사상 최악의 대재앙 될 수도”

처음 취약점이 노출된 곳은 마이크로소프트(MS)의 인기 게임 ‘마인크래프트’의 자바 버전인 것으로 알려졌다. 채팅창에 특정 메시지를 입력하면 상대 컴퓨터를 원격으로 조종할 수 있는 현상이 일부 알려지며 지난 10일 MS가 긴급 업데이트를 했다.

하지만 오픈소스 코드 저장소 ‘깃허브’에 해당 취약점이 본격 게재되고, 주요 외신과 전문가의 조명이 잇따르면서 사태의 심각성이 글로벌 커뮤니티로 일시에 퍼졌다. 글로벌 보안업체 테너블의 아미트 요란 CEO는 “최근 10년간 가장 중대한 취약점이며 현대 컴퓨터 역사를 통틀어 최악의 결함일 수 있다”고 진단하기도 했다.

비슷한 형태의 취약점이 2014년 ‘하트블리드’ 사태 때 불거진 적이 있다. 마찬가지로 오픈소스 기반 SW인 ‘OpenSSL’이 문제를 일으켰다. 웹사이트에서 서버와 사용자 컴퓨터가 정보를 주고받을 때 일어나는 암호화 과정을 관리하는 SW인데, 특히 보안을 중요시하는 금융권에서 널리 쓰였다. 당시 사태는 얼마의 정보가 빠져나갔는지 추산조차 할 수 없어 ‘대재앙(catastrophic)’이라는 수식어가 붙었다. 이번 Log4j는 산업군 제한 없이 광범위하게 활용되는 라이브러리라 영향력이 더 클 수 있다는 지적도 나온다.

국가정보원은 지난 11일부터 긴급 점검을 벌였다. 지금까지 국내에서 특별한 해킹 피해 사례는 보고되지 않은 것으로 나타났다. 정부는 아파치소프트웨어 재단이 발표한 최신 업데이트를 배포하는 데 주력할 방침이다. 과기정통부 관계자는 “현재까지 파악된 공식 피해는 없다”며 “국내 주요 인터넷 기업을 대상으로 Log4j 사용 여부를 확인하고 있다”고 전했다.

■ 'Log4j'란?

자바(JAVA) 기반 오픈소스 도구. 개발자가 프로그램을 개발할 때 기록(로그)을 보관하고 관리하는 용도로 쓴다. Log4j를 사용하면 개발 과정을 점검하고 오류를 고치는 ‘디버그’에 걸리는 시간이 크게 줄어든다. 미국 오픈소스 비영리재단 아파치소프트웨어재단에서 개발했다.

이시은/서민준 기자 see@hankyung.com

경제지 네이버 구독 첫 400만, 한국경제 받아보세요
한국경제신문과 WSJ, 모바일한경으로 보세요

Copyright © 한국경제. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
한국경제에서 직접 확인하세요. 해당 언론사로 이동합니다.