세계 통용 서버SW ‘최악 보안구멍’… 국내 기업 등 수만곳 해킹 위험
김성모 기자
입력 2021-12-13 03:00 수정 2021-12-13 06:26
“컴퓨팅 역사상 가장 큰 취약점”
《인터넷 서버에 널리 쓰이는 소프트웨어에서 치명적인 약점이 밝혀져 글로벌 정보기술(IT) 업계가 바짝 긴장하고 있다. 해커들이 악용할 경우 손쉽게 서버를 탈취해 컴퓨터를 원격조종하는 것도 가능한 것으로 알려졌다. ‘인터넷 역사를 통틀어 최악의 보안 결함’이라는 평가까지 나올 정도다. 국내에서도 국가기관 및 기업 대부분이 이 소프트웨어를 이용하고 있어 신속한 대비가 필요하다는 지적이 나온다.》
“전 세계 인터넷이 불타고 있다(The Internet is on fire right now).” ―미국 사이버보안업체 크라우드스트라이크의 애덤 마이어스 부사장
정보기술(IT) 기업과 정부기관 등 전 세계 대다수 인터넷 서버에서 광범위하게 쓰이는 소프트웨어(SW)에서 치명적인 보안 취약점이 발견돼 경고등이 켜졌다. 비밀번호 없이도 손쉽게 데이터를 빼 가거나 악성 프로그램을 심을 수 있다. 국내에서도 대부분 이 소프트웨어를 쓰고 있어 국가기관 및 기업 수만 곳이 해킹 피해를 볼 수 있다는 우려가 나온다. 정부 당국은 피해를 막기 위해 긴급 보안 업데이트를 권고하는 등 즉각 대응에 나섰다.
12일 AP통신 등에 따르면 아파치 소프트웨어재단이 개발한 자바 기반 인터넷 서버용 소프트웨어인 ‘로그4j(Log4j) 2’에서 치명적인 보안 취약점이 발견됐다. 로그4j는 인터넷 서버의 유지 및 관리를 위해 접속 기록이나 시스템 이벤트, 개발 과정 등 각종 동작을 기록하는 ‘로깅 프로그램’이다.
이 소프트웨어는 무료로 배포되는 ‘오픈 소스’여서 애플, 아마존, 트위터 등 글로벌 IT 기업부터 정부기관, 중소형 IT 회사까지 상당수 기관 기업이 웹이나 애플리케이션(앱)을 개발 및 운영할 때 활용해 왔다. 국내에서도 서버를 운영하는 다수 회사가 이를 사용 중인 것으로 알려져 있다. 한국인터넷진흥원(KISA)에 따르면 이 취약점은 이달 초 중국의 알리바바 클라우드 보안팀에서 처음 발견했고 아파치 재단에서 이달 6일 해킹을 막는 업데이트를 재빠르게 내놓았다.
그런데 10일 인터넷 개발자들이 이용하는 커뮤니티에서 구체적인 해킹 방법이 공개되면서 각국의 보안당국과 글로벌 IT 회사들이 다급하게 움직이기 시작했다. 이동근 KISA 침해사고분석단장은 “로그4j에서 비정상적인 명령을 실제로 작동시키는 구체적인 방법이 해외 커뮤니티 등을 통해 공개됐다”고 했다. 실제로 역대 비디오게임 판매량 1위인 온라인게임 ‘마인크래프트’에서 이를 활용한 해킹 시도가 있었던 것으로 알려졌다. 해당 게임을 운영 중인 마이크로소프트는 즉시 보안 업데이트를 적용했다.
전문가들은 이번에 발견된 취약점을 이용하면 해커들이 목표로 삼은 컴퓨터의 모든 권한을 취득할 수 있다고 우려했다. 비밀번호 없이도 서버를 통해 컴퓨터 내부망에 접근해 데이터를 약탈 또는 삭제하거나 악성 프로그램을 심어 실행시킬 수 있다는 것이다.
아파치 재단도 이 취약점의 보안 위협 수준을 1∼10단계 중 최고 등급인 ‘10단계’라고 평가했다. 보안업체인 ‘텐에이블’의 아미트 요란 최고경영자(CEO)는 “지금 위험에 처하지 않은 회사가 없다. 아마 현대 컴퓨팅 역사상 가장 큰 취약점이 될 것”이라며 “최대한 조치를 서둘러야 한다”고 경고했다.
정부는 아직 국내 피해 사례는 없는 것으로 파악하고 있지만 빠른 보안 업데이트를 당부했다. 국가정보원은 “11일 0시부터 실태 파악과 정보 공유, 보안 패치 안내 등 선제적 조처를 취했다”며 “긴급 점검 결과 현재까지 로그4j 2 관련 국가·공공기관 대상 해킹 피해 사례는 없는 것으로 확인됐다”고 했다.
과학기술정보통신부는 KISA의 ‘보호나라’ 웹사이트(www.boho.or.kr)를 통해 필요한 보안 조처를 안내하고 있다. 국가 기반시설과 웹호스팅 회사 477곳, 정보보호 관리체계 인증기업 758곳, 각 기업 정보보호최고책임자(CISO) 2만3835명 등에게 보안 취약점을 알리고 즉각적인 실행을 권고했다. KISA에 따르면 로그4j가 기업 홈페이지나 서버 관리 목적으로 사용되는 프로그램이어서 당장은 일반 이용자가 대응할 필요가 없지만 향후 개인이 활용하는 소프트웨어에서 해당 문제가 발생할 경우 업데이트가 필요할 수도 있다.
이상진 고려대 정보보호대학원장은 “국내 IT 기업 상당수가 해당 소프트웨어를 쓰고 있는 것으로 알고 있다”며 “웹 서버를 구축한 곳은 대부분 문제가 될 수 있기 때문에 일단 보안 패치를 설치하고 또 다른 문제가 있을지 정밀 조사해야 한다”고 했다.
김성모 기자 mo@donga.com
《인터넷 서버에 널리 쓰이는 소프트웨어에서 치명적인 약점이 밝혀져 글로벌 정보기술(IT) 업계가 바짝 긴장하고 있다. 해커들이 악용할 경우 손쉽게 서버를 탈취해 컴퓨터를 원격조종하는 것도 가능한 것으로 알려졌다. ‘인터넷 역사를 통틀어 최악의 보안 결함’이라는 평가까지 나올 정도다. 국내에서도 국가기관 및 기업 대부분이 이 소프트웨어를 이용하고 있어 신속한 대비가 필요하다는 지적이 나온다.》
“전 세계 인터넷이 불타고 있다(The Internet is on fire right now).” ―미국 사이버보안업체 크라우드스트라이크의 애덤 마이어스 부사장
정보기술(IT) 기업과 정부기관 등 전 세계 대다수 인터넷 서버에서 광범위하게 쓰이는 소프트웨어(SW)에서 치명적인 보안 취약점이 발견돼 경고등이 켜졌다. 비밀번호 없이도 손쉽게 데이터를 빼 가거나 악성 프로그램을 심을 수 있다. 국내에서도 대부분 이 소프트웨어를 쓰고 있어 국가기관 및 기업 수만 곳이 해킹 피해를 볼 수 있다는 우려가 나온다. 정부 당국은 피해를 막기 위해 긴급 보안 업데이트를 권고하는 등 즉각 대응에 나섰다.
12일 AP통신 등에 따르면 아파치 소프트웨어재단이 개발한 자바 기반 인터넷 서버용 소프트웨어인 ‘로그4j(Log4j) 2’에서 치명적인 보안 취약점이 발견됐다. 로그4j는 인터넷 서버의 유지 및 관리를 위해 접속 기록이나 시스템 이벤트, 개발 과정 등 각종 동작을 기록하는 ‘로깅 프로그램’이다.
이 소프트웨어는 무료로 배포되는 ‘오픈 소스’여서 애플, 아마존, 트위터 등 글로벌 IT 기업부터 정부기관, 중소형 IT 회사까지 상당수 기관 기업이 웹이나 애플리케이션(앱)을 개발 및 운영할 때 활용해 왔다. 국내에서도 서버를 운영하는 다수 회사가 이를 사용 중인 것으로 알려져 있다. 한국인터넷진흥원(KISA)에 따르면 이 취약점은 이달 초 중국의 알리바바 클라우드 보안팀에서 처음 발견했고 아파치 재단에서 이달 6일 해킹을 막는 업데이트를 재빠르게 내놓았다.
그런데 10일 인터넷 개발자들이 이용하는 커뮤니티에서 구체적인 해킹 방법이 공개되면서 각국의 보안당국과 글로벌 IT 회사들이 다급하게 움직이기 시작했다. 이동근 KISA 침해사고분석단장은 “로그4j에서 비정상적인 명령을 실제로 작동시키는 구체적인 방법이 해외 커뮤니티 등을 통해 공개됐다”고 했다. 실제로 역대 비디오게임 판매량 1위인 온라인게임 ‘마인크래프트’에서 이를 활용한 해킹 시도가 있었던 것으로 알려졌다. 해당 게임을 운영 중인 마이크로소프트는 즉시 보안 업데이트를 적용했다.
전문가들은 이번에 발견된 취약점을 이용하면 해커들이 목표로 삼은 컴퓨터의 모든 권한을 취득할 수 있다고 우려했다. 비밀번호 없이도 서버를 통해 컴퓨터 내부망에 접근해 데이터를 약탈 또는 삭제하거나 악성 프로그램을 심어 실행시킬 수 있다는 것이다.
아파치 재단도 이 취약점의 보안 위협 수준을 1∼10단계 중 최고 등급인 ‘10단계’라고 평가했다. 보안업체인 ‘텐에이블’의 아미트 요란 최고경영자(CEO)는 “지금 위험에 처하지 않은 회사가 없다. 아마 현대 컴퓨팅 역사상 가장 큰 취약점이 될 것”이라며 “최대한 조치를 서둘러야 한다”고 경고했다.
정부는 아직 국내 피해 사례는 없는 것으로 파악하고 있지만 빠른 보안 업데이트를 당부했다. 국가정보원은 “11일 0시부터 실태 파악과 정보 공유, 보안 패치 안내 등 선제적 조처를 취했다”며 “긴급 점검 결과 현재까지 로그4j 2 관련 국가·공공기관 대상 해킹 피해 사례는 없는 것으로 확인됐다”고 했다.
과학기술정보통신부는 KISA의 ‘보호나라’ 웹사이트(www.boho.or.kr)를 통해 필요한 보안 조처를 안내하고 있다. 국가 기반시설과 웹호스팅 회사 477곳, 정보보호 관리체계 인증기업 758곳, 각 기업 정보보호최고책임자(CISO) 2만3835명 등에게 보안 취약점을 알리고 즉각적인 실행을 권고했다. KISA에 따르면 로그4j가 기업 홈페이지나 서버 관리 목적으로 사용되는 프로그램이어서 당장은 일반 이용자가 대응할 필요가 없지만 향후 개인이 활용하는 소프트웨어에서 해당 문제가 발생할 경우 업데이트가 필요할 수도 있다.
이상진 고려대 정보보호대학원장은 “국내 IT 기업 상당수가 해당 소프트웨어를 쓰고 있는 것으로 알고 있다”며 “웹 서버를 구축한 곳은 대부분 문제가 될 수 있기 때문에 일단 보안 패치를 설치하고 또 다른 문제가 있을지 정밀 조사해야 한다”고 했다.
김성모 기자 mo@donga.com
비즈N 탑기사
- 김숙 “내 건물서 거주+월세 수입 생활이 로망”
- “20억 받으면서 봉사라고?”…홍명보 감독 발언에 누리꾼 ‘부글’
- 세계적 유명 모델이 왜 삼성역·편의점에…“사랑해요 서울” 인증샷
- “사람 치아 나왔다” 5000원짜리 고기 월병 먹던 中여성 ‘경악’
- “모자로 안가려지네”…박보영, 청순한 미모로 힐링 여행
- 엄마 편의점 간 사이 ‘탕’…차에 둔 권총 만진 8살 사망
- 8시간 후 자수한 음주 뺑소니 가해자…한문철 “괘씸죄 적용해야”
- 교보생명, 광화문글판 가을편 새단장…윤동주 ‘자화상’
- 힐러리 “내가 못 깬 유리천장, 해리스가 깨뜨릴 것”
- ‘SNS 적극 활동’ 고현정…“너무 자주 올려 지겨우시실까봐 걱정”
- 14조 들인 에틸렌 생산 설비 착착… “신기술로 中 저가공세 깬다”
- K방산 영업익 200%대 증가 예고… 실적잔치 기대감
- 기업 실적 ‘최악’… 10곳중 4곳, 영업이익으로 이자도 못내
- ‘공사비 갈등’ 둔촌주공 재건축 25일 공사 재개.. 조합, 210억 증액 수용
- 넷플릭스發 ‘제작비 인플레’… 흥행작 제작사도 “쇼트폼 갈아탈 판”
- 올해 韓 경제 2.6% 성장 여부 안갯속…정부 “불확실성 커 수정 불가피”
- 금감원 압박에… 은행 대출규정 석달새 21회 강화
- 합병 앞둔 SK이노, 계열사 사장 3명 교체… 기술형 리더 발탁
- ‘美 공급망 재편 수혜’ 인도 주식에 올해 국내 자금 1.2조 몰려
- “롯데百의 미래 ‘타임빌라스’에 7조 투자, 국내 쇼핑몰 1위로”