과기정통부, 아파치 Log4j 취약점 대응 긴급 정보보호최고책임자 간담회 개최

기업 대응현황 긴급점검, 정부 지원 및 민·관 협력방안 등 논의

[보안뉴스 원병철 기자] 과학기술정보통신부(장관 임혜숙, 이하 ‘과기정통부’)는 12월 16일(목), ‘아파치(Apache) Log4j 보안취약점 대응을 위한 긴급 정보보호 최고책임자(CISO) 간담회’를 개최했다. 간담회에는 KISA, NIPA, 한국정보보호최고책임자협의회(회장 이기주), 한국공개소프트웨어협회, 한국정보보호산업협회 및 국내 주요기업 CISO가 참여했다.

▲아파치(Apache) Log4j 보안취약점 대응을 위한 긴급 정보보호 최고책임자(CISO) 간담회[사진=보안뉴스]

이번 간담회는 지난 과기정통부의 취약점 관련 상황 전파 등 초동조치 이후, 보다 체계적이고 신속한 보안조치를 위해 기업의 정보보안을 책임지는 정보보호최고책임자(CISO)를 대상으로 취약점 대응현황을 긴급 점검하고, Log4j 취약점 공격 방어전략, 취약여부 점검방법, 보안조치 방안 등 세부적인 취약점 대응 방안에 대한 정보 공유 및 피해를 최소화하기 위한 민·관 협력 대응방안을 심도 있게 논의하였으며, 그간 대응현황도 공유하였다.

과기정통부는 취약점 대응 관련으로 국민 기본생활 및 경제 안정에 영향을 미칠 수 있는 정보통신, 금융, 의료 등 주요정보통신기반시설(90개 기관, 147개 시설)을 대상으로 12월 12일(일)부터 Apache Log4j 2에서 발견된 취약점에 대해 긴급점검을 실시했다. 전체 민간분야 기반시설(147개 시설) 중 30개 시설(20.4%)에서 Apache Log4j 2를 사용하고 있는 것으로 조사됐고, 조속한 보안 패치가 완료될 예정이다.

아울러, 과기정통부는 소프트웨어 관련 협회인 공개소프트웨어협회(회장 장재웅)와 한국소프트웨어산업협회(회장 조준희)를 통해 10,000여 개 소프트웨어 기업에 보안 업데이트 필요성을 긴급 공지했으며, 2018년부터 기업이 공개 소프트웨어를 활용해 소프트웨어 개발시 보안취약점을 미리 파악할 수 있도록 보안취약점 무료검사 서비스를 제공하고 있다고 밝혔다.

▲간담회에 참석한 홍진배 정보보호네트워크정책관(좌)과 이기주 한국CISO협의회 회장[사진=보안뉴스]

과기정통부 홍진배 정보보호네트워크정책관은 “Log4j 취약점의 영향을 받는 대상이 현재까지는 기업에서 운영하는 인터넷 서비스, SW가 대부분으로 기업들은 정보보호최고책임자(CISO)를 중심으로 신속하게 보안업데이트를 수행하고, 일반 국민의 경우는 직접적으로 보안패치를 할 사항은 없으나 평소와 같이 백신프로그램 설치 및 최신 보안업데이트 등 기본적인 정보보호 실천수칙을 잘 지켜 줄 것”을 당부했으며, “향후 일반 국민들이 사용하는 프로그램 등에 관련 취약점이 발견될 경우 즉각적인 보안조치 실시 등 국민 피해를 예방할 계획”이라고 밝혔다.

또한, 아파치(Apache) Log4j에 새로운 취약점이 계속 발견되어 보안패치된 신규버전(log4j 2.16.0(Java8이상), 2.12.2(Java7) 12.15기준)이 지속적으로 발표되고 있으므로, 관련 사항을 보호나라에 공지하고 있으니 주기적으로 확인하고 대응해줄 것을 특별히 당부했다.
[원병철 기자(boanone@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)