IT업계 뒤흔든 자바 취약점 ‘Log4j’··· 체크막스 “시큐어코딩 생활화해야”

실시간
뉴스

보안

IT업계 뒤흔든 자바 취약점 ‘Log4j’··· 체크막스 “시큐어코딩 생활화해야”

디지털데일리 발행일 2021-12-13 17:34:58

이종현

URL복사

애드리안 옹 체크막스 EMEA/APJ 지역 채널 및 북아시아 영업 총괄 부사장

[디지털데일리 이종현기자] 전 세계 정보기술(IT) 기업은 아파치(Apache) 소프트웨어 재단의 오픈소스 자바(Java) 로깅 프레임워크 ‘Log4j’에서 심각한 취약점이 발견됨에 따라 바쁜 주말을 보냈다. 일각에서는 ‘컴퓨터 역사상 최악의 취약점’이라고 표현하며 사태의 심각성을 전했다.

핵심은 보안 취약점이 있는 log4j 탓에 해당 라이브러리를 사용하는 기업 서비스가 위협에 노출됐다는 점이다. 취약점의 영향을 받는 게임 ‘마인크래프트’의 경우 해커가 채팅 메시지를 입력하는 것만으로 서버에 대한 권한을 탈취할 수 있는 것으로 알려졌다. 아마존, 애플, 스팀, 트위터 등도 영향을 받는 것으로 알려졌다.

13일 이스라엘 보안기업 체크막스(Checkmarx)는 국내 기자간담회에서 log4j 사태에 대해 “요지는 신뢰할 수 없는 코드를 쉽사리 사용하지 않는 것”이라고 말했다.

애드리안 옹 체크막스 EMEA/APJ 지역 채널 및 북아시아 영업 총괄 부사장은 “클라우드 기반의 현재 개발 환경은 속도가 매우 빠르다. 아마존웹서비스(AWS)를 사용하는 기업의 경우 11.6초마다 신규 서비스를 배포하는 수준이다. 소프트웨어(SW) 개발 과정에서 복잡성이 증가하며 그에 따른 취약점도 같이 늘고 있다”고 전했다.

앱 보안 테스팅 솔루션을 보유한 체크막스는 기업·공공기관을 대상으로 보안 이슈 진단 및 취약점 식별을 하는 기업이다. ▲소스코드분석 자동화 ▲개발자 중심 인터페이스 ▲분석용 쿼리 커스터마이징 ▲통합 연동 지원 ▲가시성 확보 ▲SDLC 연동 ▲개발 효율성 향상 ▲통합 플랫폼 등의 기능을 갖춘 솔루션을 제공한다.

오픈소스에 대한 취약점 점검도 할 수 있는 만큼 log4j와 같은 사태를 미연에 방지할 수 있다는 것이 체크막스의 주장이다.

애드리안 옹 부사장은 “log4j가 심각한 보안 이슈이긴 하지만 그와 비슷하거나 유사한 수준의 문제는 산적해 있다”고 피력했다.

오픈소스 코드 저장소 깃허브(GitHub)에 해커가 악성코드를 탑재한 NPM(Node Package Manager) 패키지 2개를 업로드했는데, 해당 NPM의 주간 다운로드 수는 2100만건가량이다. 애드리안 옹 부사장은 개발자들 사이에서 편의성을 위해 쓰이는 방식이 심각한 피해로 이어질 수 있다고 경고했다.

그는 “익숙하다는 이유만으로 오픈소스를 가져다 쓰는 일이 많다. 개발 과정에서의 보안에 대한 인식이 변해야 한다”고 강조했다.

한편 국내 사업을 본격화하는 체크막스는 행정안전부의 정보시스템 구축·운영 지침 개정안 내 시큐어코딩 의무화 기준을 위한 표준 점검목록을 제공한다. 웹사이트와 솔루션에 대한 한글화를 지원, 국내 시장에서의 영향력을 키워나가겠다는 방침이다.

송대근 체크막스 한국지사장은 “과거와 달리 지금은 필요한 코드를 오픈소스로 사용해 개발하는 레고블록모듈 방식을 채택하고 있다. 외부 SW 공급망을 통핸 보안 위협에 노출될 수밖에 없는 상황”이라며 “체크막스는 SW 개발 속도가 빨라진 만큼 보안 이슈에 대한 대처도 신속하게 제공해줌으로써 타임투마켓을 해치지 않으면서 보안을 강화한다”고 말했다.