인터넷 서버용 SW, 해킹 위험 노출
과기정통부, 긴급 보안업데이트 권고
과기정통부, 긴급 보안업데이트 권고
[파이낸셜뉴스] 대부분의 인터넷 서버에 사용되는 소프트웨어(SW)에서 심각한 보안 취약점이 발견돼 세계가 발칵 뒤집혔다. 이는 보안위협 최고등급으로 분류됐다.
우리 정부도 해킹피해를 방지하기 위해 긴급 보안업데이트를 권고했다. 아직까지 이와 관련된 피해는 발견되지 않았다.
해커들이 이 곳을 공격하면 타깃 컴퓨터의 모든 권한을 가져간다. 비밀번호 없이도 서버를 통해 내부망에 접근해 데이터를 훔쳐가거나 악성 코드를 심어 실행시키고, 자료 삭제도 가능하다.
과학기술정보통신부는 '아파치 로그4j 2(Apache Log4j 2)' 서비스에 대한 보안취약점이 발견됨에 따라 긴급 보안업데이트를 권고했다고 12일 밝혔다.
이 SW는 오픈소스 로깅 라이브러리 '아파치 로그4j 2(Apache Log4j 2)'다. 로깅이란 서버나 프로그램 등을 유지하고 관리하기 위해 동작 상태를 기록으로 남기는 것을 말한다. 사실상 거의 모든 서버가 이 라이브러리를 사용한다.
AP통신에 따르면, 이 취약점은 온라인게임 '마인크래프트'에서 처음 확인됐다. 자바 언어로 개발된 마인크래프트 버전에서 프로그래밍 코드로 이뤄진 특정 채팅 메시지를 입력하면, 대상 컴퓨터에서 원격으로 프로그램을 실행시킬 수 있는 것으로 나타났다. 마인크래프트 개발사인 마이크로소프트(MS)는 즉시 업데이트를 적용하고 '업데이트를 적용한 고객들은 보호받을 수 있다'고 공지했다.
게임 뿐만아니라 클라우드 서버를 운영하는 정보기술(IT) 기업부터 웹사이트 운영 기업, 정부기관까지 이 SW를 활용하고 있어 심각한 해킹 위험에 노출될 수 있다.
오픈소스 컴퓨터 프로그램을 개발하고 지원·관리하는 비영리단체인 아파치소프트웨어재단은 이 취약점의 보안 위협 수준을 1∼10단계 중 최고 등급인 '10단계'라고 평가했다. 또한, 사이버 보안 업체 크라우드스트라이크의 애덤 메이어스 전무는 "서버 관리자들은 패치를 서두르고 있고, 해커들은 취약점 공격을 시도하고 있다"며 "이미 이 취약점이 '무기화'됐다"고 말했다. 해커들이 취약점을 공격할 도구 개발을 마치고 이미 공격에 들어갔다는 의미다.
과기정통부도 이 취약점을 공격자가 악용할 경우 악성코드 감염 등의 피해를 발생 시킬 수 있다고 경고했다. 이에따라 지난 11일 한국인터넷진흥원(KISA)의 보호나라 홈페이지를 통해 보안공지에 따라 즉시 보안 업데이트를 당부했다. 또한 기반시설, ISMS 인증기업 758개사, CISO 2만3835명, C-TAS 328개사, 클라우드 보안인증 기업 36개사, 웹호스팅사 477개사, IDC 16곳 등을 대상으로 긴급 전파했다. 해당서버를 사용하는 기업들에게도 신속한 조치를 강조했다.
monarch@fnnews.com 김만기 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지