KOSEN 한인과학기술자네트워크

□ 인터넷 서버용 소프트웨어(SW)에서 심각한 보안 취약점 발견

º 인터넷 서비스 운영？관리 목적으로 로그기록을 남기기 위해 사용하는 ‘로그 4j(Log4j)’에서 해킹으로 이어질 수 있는 보안 취약점이 발견되며 전 세계 비상
 

- 로그4j는 아파치(Apache) 소프트웨어 재단이 개발한 자바 로깅* 프레임워크로 기업 홈페이지 등 인터넷 서비스 운영？관리 목적의 로그기록을 남기기 위해 사용 중

* 로깅은 컴퓨터에서 서버？프로그램 등의 유지 관리를 목적으로 작동 상태를 기록으로 남기는 일

- 실제로 애플, 아마존, 트위터 등 글로벌 IT 기업을 비롯한 게임이나 클라우드 서버를 운영하는 기업과 웹사이트 운영 기업, 정부기관까지 광범위하게 사용

- 로그4j의 취약점은 11월 24일 알리바바클라우드 보안팀에 의해 최초 보고되었으며 자바 언어로 개발된 온라인 게임 ‘마인크래프트’에서 발견

- 마인크래프트에서 프로그래밍 코드로 이뤄진 특정 채팅 메시지를 입력하면 대상 컴퓨터에서 원격으로 프로그램을 실행시킬 수 있는 것을 확인

- 해커가 로그4j를 통해 공격하면 비밀번호 없이도 서버를 통해 내부망에 접근하여 민감한 데이터에 접근하고 악성코드 주입도 가능하며 백도어를 설치해 향후 보안 패치가 적용된 후에도 서버에 대한 접근 유지 가능 

- 이를 이용하여 정부기관과 기업, 금융사를 공격해 모든 권한을 취득할 수 있는 만큼 심각한 해킹 위험에 노출된 상황

※ 아파치 소프트웨어 재단은 이번 상황에 대한 보안 위협 수준을 해당 프로그램이 전 세계 기 업들이 광범위하게 사용하고 있다는 점 때문에 1∼10단계 중 최고 등급인 ‘10단계’라고 평가

□ 해킹 위험에 노출된 국내？외 기업, 해결책 마련에 분주

º 인터넷 개발자가 이용하는 커뮤니티에서 구체적인 해킹 방법이 공개되면서 로그4j를 이용한 악용 공격 시도가 확산하고 있으며 국내？외 보안 기업이 분주하게 움직이기 시작

- 보안 업체 체크포인트(checkpoint)에 따르면 대략 24시간 동안 로그4j 취약점을 활용하기 위한 10만 번 이상의 시도가 있었던 것으로 발견됐으며 이 중 절반 이상이 악의적인 사이버 공격자, 나머지는 국가 인프라를 스캐닝하는 정부나 보안 연구자일 것으로 추정

- 시스코의 보안 전문 조직 탈로스는 12월 2일부터 로그4j 관련 공격 활동을 포착했다고 발표했으며 중국 보안 기업 넷랩도 리눅스 기기를 대상으로 로그4j 취약점을 악용한 랜섬웨어 ‘무스틱(Muhstik)’ 및 미라이 봇넷 공격 시도 정황을 포착하는 등 글로벌 보안 기업도 잇따라 로그4j 관련 공격 감지

- 또한 글로벌 보안 기업 소포스는 로그4j를 통해 아마존웹서비스(AWS) 접근 키를 유출하려는 시도를 포착했으며 해커는 AWS 리소스와 상호작용하는 프로 그램에서 관련 정보 전송 시도 

º 국내？외 기업은 ‘로그4j’에 보안 경보 발령 및 새로운 패치를 위한 보안 업데이트에 나서고 있으며 특히 보안업계에서는 ‘로그4j’ 점검 스캐너를 무료로 배포하는 등 피해 최소화를 위한 대응에 노력

□ 정부 차원에서 기업에 긴급 보안 패치 권고하며 사전예방

º 국가정보원과 과기정통부, 한국인터넷진흥원, 금융보안원 등 유관부처와 기관들 은 주요 공공기관과 기업을 대상으로 피해 현황 파악과 함께 취약점 점검 공지 및 보안 업데이트 지원

- 국정원의 점검 결과 현재까지 국가？공공기관을 대상으로 한 로그4j 관련 해킹 피해 사례는 없는 것으로 파악되었으나 상황을 계속 주시하고 있는 분위기 

- (국가정보원) 취약점 보안패치 적용 등 보안 대책을 국가사이버위협정보공유 시스템(NCTI), 인터넷용정보공유시스템(KCTI)과 사이버안보센터 홈페이지를 통해 안내

- (과기정통부) 인터넷보호나라 홈페이지를 통해 관련 기업들에게 긴급 보안 업데이트를 진행할 것을 권고*했으며 개인정보를 대량으로 보유하고 있는 이동 통신사업자 등을 대상으로 긴급 점검에 착수

* 권고 대상은 기반시설, ISMS 인증기업(758개 사), CISO(2만 3,835명), C-TAS(328개 사), 클라우드 보안인증 기업(36개 사), 웹호스팅사(477개 사), IDC(16곳) 등

- (한국인터넷진흥원) 인터넷보호나라&krCERT 등을 통해 보안 업데이트 공지문 게시

- (금융보안원) 금융권 및 금융당국과 긴밀하게 협력하고 금융권 공격 시도에 대한 탐지 및 모니터링 강화

？º 한편 미국 사이버보안 및 인프라 보안국(CISA)도 ‘로그4j’에서 발견된 취약점의 위험성 경고

- 어떤 소프트웨어 제품이 취약점을 갖고 있는지 해커들이 그 약점을 이용하기 위해 어떤 기술을 쓰는지 등 정보를 제공하는 홈페이지 운영 예정