"컴퓨터 역사상 최악 취약점 발견" 전세계 비상..긴급 보안패치 권고(종합)

'아파치 로그4j 2' 서비스 보안 취약점 발견.."상대 해킹·조작 가능"
마인크래프트에서 취약점 적용 확인..MS 업데이트 후 개선 버전 배포

© News1 이지원 디자이너

(서울=뉴스1) 송화연 기자 = 인터넷 서버용 소프트웨어인 아파치(Apache) 소프트웨어 재단의 '로그(Log)4j 2'에서 치명적인 취약점(CVE-2021-44228)이 발견돼 전 세계가 비상에 걸렸다. 일각에선 최악의 보안 결함으로 꼽히는 '하트블리드', 'CPU게이트'를 뛰어넘을 취약점이 나타났다는 분석이다.

12일 과학기술정보통신부는 '아파치 로그4j 2' 서비스에 대한 보안취약점이 발견됨에 따라 긴급 보안 업데이트를 권고했다.

◇"컴퓨터 역사상 최악의 취약점 발견"

로그4j 2는 아파치 소프트웨어 재단이 개발한 인기 있는 자바 로깅 프레임 워크로, 기업 홈페이지 등 인터넷 서비스 운영·관리 목적의 로그기록을 남기기 위해 사용된다.

이번 취약점은 지난 11월24일 알리바바클라우드 보안팀에 의해 최초 보고됐으나, 자바 언어로 개발된 '마인크래프트'에서 취약점이 발견되면서 수면 위로 떠올랐다. 마인크래프트 운영사 마이크로소프트는 업데이트를 진행하고 개선 버전을 배포한 상태다.

문제는 애플, 아마존 등 사실상 모든 인터넷 서버가 '로그4j'를 사용중인 것으로 알려지면서다. 아파치 로그4j 2의 일부 기능에는 재귀 분석 기능(recursive analysis functions)이 있어 공격자가 직접 악성 요청을 구성해 원격 코드 실행 취약점을 유발할 수 있다.

AP통신은 "로그4j 2는 게임 및 클라우드 서버를 운영하는 기업과 웹사이트 운영 기업, 정부 기관까지 광범위하게 사용되고 있다"며 "공격자가 이번 취약점을 악용할 경우, 공격자의 목표가 된 컴퓨터나 서버에 대한 광범위한 해킹 및 조작이 가능하다"고 보도했다.

보안기업 테너블의 아밋 요란 대표는 이번 취약점을 두고 "지난 10년간 가장 크고 가장 치명적인 단일 취약점이 될 것"이라며 "아마 현대 컴퓨팅 역사상 가장 큰 취약점이 될 것이다"고 분석했다.

아파치 소프트웨어 재단은 공통 취약점 등급 시스템(CVSS) 점수 10점을 매기며, 이번 취약점이 '매우 심각한 수준의 취약점'이라고 발표했다.

◇국정원 "국가·공공기관 대상 해킹피해 사례 없어"…과기정통부 "긴급 보안 업데이트 권고"

국가 기관과 국내 기업에도 비상이 걸렸다. 국정원은 지난 11일 취약점 실태를 파악하고 보안패치 안내 등 선제적인 조치를 취했다.

국정원 측은 "긴급 점검 결과, 현재까지 국가·공공기관 대상 관련 해킹 피해 사례는 없는 것으로 확인됐다"며 "국정원은 유관기관과 협력해 피해 차단에 만전을 기할 것"이라고 말했다.

국정원은 피해 예방을 위해 취약점 보안패치 적용 등 보안 대책을 국가사이버위협정보공유시스템(NCTI), 인터넷용정보공유시스템(KCTI)과 사이버안보센터 홈페이지를 통해 안내했다.

과기정통부는 이날 한국인터넷진흥원(KISA) 보호나라 홈페이지를 통해 즉시 보안 업데이트를 당부하고, 기반시설, ISMS 인증기업(758개사), CISO(23,835명), C-TAS(328개사), 클라우드 보안인증 기업(36개사), 웹호스팅사(477개사), IDC (16곳) 등을 대상으로 신속한 조치를 요청했다. 현재까지 민간에서 보고된 피해 사례는 없는 것으로 전해진다.

과기정통부 측은 "관련 보안 취약점 조치에 대한 자세한 사항은 보호나라 홈페이지 보안공지(1614번 공지) 또는 국번없이 118로 상담을 요청하면 자세한 내용을 안내받을 수 있다"고 밝혔다.

hwayeon@news1.kr