악성코드 위험 ‘로그4j 2’…과기부, 기업에 긴급 보안패치 권고

“정부기관 등 아직 피해 사례는 없는 것으로 확인”

언스플래시

정부가 최근 보안 취약점이 발견된 ‘아파치 로그4제이(Apache Log4j) 2’ 소프트웨어의 긴급 보안업데이트를 기업들에 권고했다. 인터넷 서버를 이용하는 국내외 대다수 기업이 이 소프트웨어를 이용하고 있어 해킹 등의 우려가 큰 상황이다.

과학기술정보통신부(과기부)는 12일 보도자료를 내어 “아파치 Log4j 2 서비스에 대한 보안 취약점이 발견돼 (기업·공공기관 등에) 긴급하게 보안 조처를 해줄 것을 당부했다”고 밝혔다. Log4j는 인터넷 서버 등의 유지·관리를 위해 동작 상태를 기록하는 로깅 프로그램이다. 무상 공개된 ‘오픈 소스’ 서비스여서 애플, 아마존, 트위터 등을 비롯한 대부분의 정보기술(IT) 회사들이 사용해왔다. 하지만 최근 보안상 심각한 허점이 발생해 전세계 정보보안 업계가 대응 방안을 고심하고 있다. 해커가 이 취약점을 악용하면 원격으로 서버에 접근해 데이터를 삭제하거나 악성 프로그램을 심을 수 있는 것으로 알려졌다.

지난 11일 한국인터넷진흥원(KISA)이 ‘보호나라’ 누리집에 게시한 ‘아파치 Log4j 2’에 대한 보안 업데이트 권고문. 보호나라 누리집 갈무리

이에 과기부는 지난 11일 한국인터넷진흥원(KISA)의 ‘보호나라’ 누리집을 통해 필요한 보안 조처를 안내했다. △국가기반시설 △웹호스팅 회사 477곳 △정보보호 관리체계 인증기업 758곳 △각 기업 정보보호 최고책임자(CISO) 2만3835명 등에는 Log4j 2의 취약점을 전파하고 즉각적인 조처를 권고한 상태다. 이 소프트웨어의 개발사인 아파치재단이 6일 자사 누리집에 배포한 업데이트(버전 2.15.0)를 적용하면 보안 취약점을 해결할 수 있다.

한편 국내에서 해킹 피해는 없는 것으로 나타났다. 국가정보원은 “11일 오전 0시쯤부터 실태 파악, 정보공유, 보안패치 안내 등 선제적 조처를 취했다. 긴급 점검 결과 현재(11일)까지 Log4j 2 관련 국가·공공기관 대상 해킹 피해 사례는 없는 것으로 확인됐다”고 밝혔다.

천호성 기자 rieux@hani.co.kr