[긴급] 거의 모든 서버가 위험하다! 매우 치명적인 ‘로그4j’ 보안 취약점 발견

자바 기반의 오픈소스 유틸리티 프로그램 로그4j에서 최고 위험도 보안 취약점 발견
오징어 게임의 수많은 패러디 게임으로 더 유명해진 ‘마인크래프트’ 에서 처음 발견
국내외 보안전문가 “최악의 시나리오 대비해야, 매우 긴 주말이 될 것” 우려
국정원·KISA 긴급 대응중...기관 및 기업의 보안담당자들 보안 패치 시급

[보안뉴스 권 준 기자] 거의 모든 서버에 영향을 미칠 수 있는 매우 심각한 제로데이 취약점이 발견돼 이번 주말 공공기관과 기업에 비상이 걸렸다. 취약점이 발견된 로그4j(Log4j) 2는 프로그램 작성 중 로그를 남기기 위해 사용되는 자바 기반의 오픈소스 유틸리티 프로그램으로, 대부분의 서버에서 광범위하게 사용되는 프로그램으로 알려졌다.

[이미지=utoimage]

국내외 보안전문가들은 널리 사용되는 Log4j 도구에서 발견된 이번 제로데이 취약점은 지난 2017년 최악의 유출사고를 겪은 에퀴팩스가 당했던 아파치 스트러츠(Apache Struts) 취약점보다 조직에 더 큰 위협이 될 수 있다고 경고하고 있다.

대부분의 자바 소프트웨어에 존재하는 로깅 프레임워크인 Log4j에서 발견된 이번 원격 코드 실행 취약점(CVE-2021-44228)을 악용할 경우 사이버 공격자들은 Log4j를 사용하고 있는 모든 애플리케이션에 임의의 코드를 실행할 수 있다.

이는 다시 말해 공격 타깃이 되는 서버나 PC의 모든 권한을 취득할 수 있다는 의미이기도 하다. 비밀번호 입력 없이 서버를 통해 내부망에 접근해 데이터를 탈취하거나 랜섬웨어 등의 악성코드를 실행시켜 돈을 요구할 수도 있다. 실제 취약한 애플리케이션에 대한 대규모 스캐닝 활동이 발견됐으며, 해당 취약점을 노린 공격 시도가 실제로 포착된 것으로 드러났다.

더욱 큰 문제는 해당 취약점을 악용해 공격을 감행하는데 별다른 기술이 필요하지 않다는 점이다. 이로 인해 해당 취약점이 고급 기술을 보유한 국가지원 해커조직과 랜섬웨어 갱단들은 물론 수많은 사이버 범죄자들이 악용할 가능성이 높다는 우려가 제기되고 있다.

해당 취약점이 가장 먼저 확인된 건 유명 온라인 게임 ‘마인크래프트’로 알려졌다. ‘마인크래프트’는 우리나라의 메가 히트 드라마인 ‘오징어 게임’의 수많은 패러디 게임이 등장하면서 더욱 유명세를 탄 온라인 게임이다.

자바 언어로 개발된 마인크래프트 버전에서 특정 채팅 메시지를 입력하면 대상 컴퓨터에서 원격으로 프로그램을 실행할 수 있었던 것으로 드러났다. 이에 마이크로소프트는 바로 업데이트를 진행하고, 업데이트를 적용한 고객은 이번 취약점으로부터 보호받을 수 있다고 공지했다.

이번 취약점과 관련해 크라우드 소싱 취약점 공개 플랫폼인 Bugcrowd의 설립자이자 CTO인 케이시 엘리스(Casey Ellis)는 “이번 취약점은 소프트웨어와 플랫폼에서 많이 사용되는 프로그램이라는 점, 취약성을 악용할 수 있는 수많은 경로가 있다는 점, 다른 것을 손상시키지 않고 패치도 어렵게 만든다는 점 등에서 최악의 시나리오가 되고 있다”고 경고하면서 “많은 사람들에게 긴 주말이 될 것”이라고 우려했다.

이번 취약점에 대해 아파치 재단은 심각도 등급을 가장 높은 10으로 지정했으며 문제를 해결하는 업데이트 버전의 Log4j 2.15.0를 출시한 상태다. 이와 함께 재단은 조직이 취약점을 통한 원격 코드 실행으로부터 보호하기 위해 구현할 수 있는 Log4j 2.10 이상 버전에 대한 완화 조치를 발표하기도 했다.

이번 취약점과 관련해서 국가정보원(이하 국정원)과 한국인터넷진흥원(KISA) 등 관계기관도 분주하게 움직이고 있다. 국정원은 인터넷 서버용 소프트웨어인 ‘로그4j(log4j)’에서 심각한 해킹을 야기할 수 있는 취약점이 발견된 것과 관련해 11일 자정 경부터 실태 파악, 정보공유, 보안패치 안내 등 선제적 조치를 취했다고 밝혔다.

국정원은 긴급 점검 결과, 현재까지 국가·공공기관 대상 관련 해킹 피해 사례는 없는 것으로 확인됐다면서도 피해 예방을 위해 취약점 보안패치 적용 등 보안 대책을 국가사이버위협정보공유시스템(NCTI), 인터넷용정보공유시스템(KCTI)과 사이버안보센터 홈페이지를 통해 안내했다고 밝혔다. 국정원은 향후 유관기관과 협력해 피해 차단에 만전을 기하겠다고 덧붙였다.

KISA에서도 인터넷보호나라&krCERT 등을 통해 보안 업데이트 공지문을 올리고 기업 보안담당자들에도 전파하고 있다. 취약점에 영향을 받는 버전은 Log4j 2.0-beta9에서 2.14.1까지 모든 버전에 해당된다.

해당 취약점의 해결방안은 △2.0-beta9~2.10.0 버전의 경우 JndLookup 클래스를 경로에서 제거( zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class)해야 하며, △2.10~2.14.1 버전은 log4j2.formatMsgNoLookups 또는 LOG4J_FORMAT_MSG_NO_LOOKUPS 환경변수를 true로 설정해야 한다. 또한, 제조사인 아파치 재단 홈페이지를 통해 최신 버전(2.15.0)으로 업데이트를 적용할 필요가 있다.
[권 준 기자(editor@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)