[디지털데일리 이종현기자] 아파치(Apache) 소프트웨어(SW) 재단의 자바(Java) 기반 로깅 라이브러리 ‘Log4j’에서 추가 취약점이 발견됐다.
15일 정보기술(IT) 업계에 따르면 기존에 취약점이 발견됐던 아파치 SW 재단의 log4j 2뿐만 아니라 log4j 1.2에도 원격코드실행(RCE) 취약점이 발견됐다. 취악점의 위험성을 0~10점으로 평가하는 CVSS에서는 6.6점을 받았다. log4j 2의 경우 10점이다.
1.x 버전에서도 취약점이 발견되면서 국내 기업들도 긴장 상태다. IT 업계에서는 취약점이 발견된 후 자사 시스템을 점검했으나 log4j 2가 아니라 log4j 1을 사용하는 경우가 많아 피해에서 빗겨났다는 의견이 다수 나왔다. 그러나 구버전에서도 취약점이 드러난 만큼 각 기업들의 대응이 불가피하다.
IT 업계는 며칠째 혼란스럽다. 오픈소스로 보급된 특성상 자신의 시스템이 log4j를 사용하는지, 사용한다면 취약점이 발견된 버전인지 확인하는 것이 쉽지 않기 때문이다.
이희조 고려대학교 교수는 “수천만의 코드 라인에서 log4j가 쓰였는지 찾는 것은 쉽지 않다”고 말했다. 실제 문제가 드러난 이후 IT 업계에서는 “제품으로 스캔을 해봐도 log4j2 사용 여부 확인이 어려웠다”는 말이 나오기도 했다.
한국인터넷진흥원(KISA)은 “제조사 홈페이지에 신규 버전이 계속 업데이트되고 있어 확인 후 업데이트를 적용해야 한다”며 “자바8은 log4j 2.16.0으로 업데이트, 자바7은 log4j 2.12.2로 업데이트하라”고 안내했다.
log4j 취약점을 악용한 공격이 이미 가시화됐다는 목소리도 나온다. 다크웹 추적 인텔리전스 기업 NSHC의 최상명 수석연구원은 “플랫폼의 지도 기반 서비스를 이용해 현재 전세계적으로 Log4j 취약점 공격 시도를 하고 있는 IP들을 표시해본 결과 전 세계적으로 약 2300여개의 IP에서 공격이 진행되고 있다”고 전했다.
취약점의 특성상 해커가 한 번 침입했다면 언제 피해가 발생할지 예측하기 어렵다는 주장도 있다. 이희조 교수는 “해커가 원격에서 접속한 뒤 백도어를 심었다면 안전한 log4j 버전으로 업데이트하더라도 소용 없다”고 지적했다.
이는 최근 랜섬웨어 공격의 트렌드에서도 엿볼 수 있다. 랜섬웨어 조직들은 기업·기관 시스템에 침입한 뒤 내부에서 충분히 감염이 이뤄질 때까지 1~2년을 기다리는 인내심을 발휘하는 추세다.
한편 한국침해사고대응팀협의회(CONCERT)는 오는 17일 오후 2시 log4j에 발생하는 취약점 탐색 및 대응방안에 대한 정보를 공유하는 긴급 행사를 개최한다.