전 세계에서 광범위하게 사용되는 인터넷 서버용 소프트웨어에서 보안 취약점이 발견돼 우려가 커지고 있다.

13일 AP 통신 등 현지 언론에 따르면 오픈소스 로깅 소프트웨어 '로그4j(log4j)'에서 사이버 해킹에 취약한 부분이 발견됐다. 로그기록을 관리하기 위한 필수 프로그램의 보안 문제로 각국이 해결책 마련에 분주한 모습이다.

◆보안 취약 드러난 '로그4j'

로그4j는 인터넷 홈페이지에서 인터넷 서비스의 운영 및 관리 목적의 로그기록을 남기기 위해 사용하는 프로그램이다. 일반 사기업뿐 아니라 공공기관까지 사용할 만큼 대중적으로 사용되고 있다.

문제가 된 취약점은 로그4j 2.0 베타 9 버전부터 2.14.1 버전까지 포함된다. 아파치소프트웨어재단은 해당 프로그램이 전 세계 기업들이 광범위하게 사용하고 있다는 점 때문에 보안 위협 수준을 1∼10단계 중 최고 등급인 '10단계'로 평가했다.

보안 문제에 대한 걱정이 심각해지자 국정원도 긴급 점검을 진행했다.

국정원의 점검 결과, 현재까지 국가·공공기관을 대상으로 한 관련 해킹 피해 사례는 없는 것으로 파악됐다. 다만 추가적인 피해방지를 예방을 위해서 국정원은 취약점 보안패치 적용 등 보안 대책을 국가사이버위협정보공유시스템(NCTI), 인터넷용정보공유시스템(KCTI)과 사이버안보센터 홈페이지를 통해 안내하고 있다.

국정원은 "항상 취약점을 찾고 있는데 이번 사안은 심각하다고 판단해 긴급점검에 들어간 것"이라며 "향후 유관기관과 협력해 피해 차단에 만전을 기하겠다"고 말했다.

◆과기부, 긴급 보안 업데이트 권고

하지만 로그4j의 보안 문제를 둘러싸고 우려는 점차 커지고 있다. 아직까지 피해가 발생하지는 않았지만, 취약점이 드러난 만큼 보안에 대한 경각심을 일깨우면서다.

이에 로그4j를 둘러싸고 우려가 심각해지자 과학기술정보통신부(과기정통부)는 지난 12일 사용자들에게 긴급 보안 업데이트를 진행할 것을 권고했다.

과기정통부는 "업데이트를 수행하지 않을 경우, 취약점을 악용해 공격자가 원격에서 공격코드를 실행시킬 수 있어 심각한 피해를 입을 수 있다"며 "로그4j를 이용하는 경우 신속하게 업데이트를 적용해야 한다"고 강조했다.

과기정통부는 보호나라 홈페이지를 통해 즉시 보안 업데이트를 당부했다. 권고 대상은 기반시설, ISMS 인증기업(758개사), CISO(2만3835명), C-TAS(328개사), 클라우드 보안인증 기업(36개사), 웹호스팅사(477개사), IDC (16곳) 등이 포함된다. 과기정통부는 이번 내용을 해당 기관들에 긴급 전파했고 해당서버를 사용하는 기업들에게도 신속한 조치를 당부했다.

한편 이번 문제로 전체 소프트웨어에 대한 점검 필요성도 대두되고 있다.

한 보안업계 관계자는 "이번을 계기로 사이버 보안망을 다시 한번 점검해야 할 것"이라며, "로그4j와 같은 필수 프로그램을 심층적으로 조사하는 것이 필요하다"고 말했다.