서버나 앱, 서비스 등에 사용된 로그4j... 일반 사용자가 직접 할 수 있는 것은 아직 없어
일반 사용자가 사용하는 서버나 앱 등에 취약점 악용한 공격이 성공할 경우 피해 가능

[보안뉴스 원병철 기자] 전 세계가 로그4j 취약점 일명 로그4셀 이슈에 휩쓸리면서 기관 및 기업의 보안담당자들의 관심이 한 곳에 쏠렸다. 일각에서는 이번 이슈를 2017년 워너크라이 랜섬웨어 사태에 비교하기도 하며, 취약점이 알려지기 최소 9일 전부터 이미 해커들이 알고 있어 피해 규모가 생각보다 더 커질 수 있을 것이라는 우려도 제기되고 있다.


특히, 이번 이슈는 사상 최악의 취약점으로 불리며 여러 매체에서 보도된 탓에 보안종사자들은 물론 일반인에게까지 알려지면서 불안감이 극대화되고 있다. 그런데 로그4j는 자바 프로그래밍에서 로깅을 남길 때 쓰는 프로그램으로, 서버는 물론 어플리케이션이나 웹 서비스 개발에 사용하기 때문에 일반인은 사용하는 경우가 드물다고 할 수 있다. 기업 혹은 기관 등에서 사용하며, 취약점으로 인해 패치를 하는 것도 개발자 혹은 보안담당자의 업무라는 설명이다.

이미 현장에서는 서버와 같이 표면에 드러난 곳을 중심으로 업데이트를 진행하고 있으며, 앱이나 서비스 개발에 사용한 곳은 패치를 진행하는데 초점을 맞추고 있다. 특히, 패치 업데이트 과정에서 다른 앱이나 프로그램 등과의 연동에 다른 문제가 없는지 검증하고 진행해야 하기 때문에 쉽지 만은 않은 작업으로 알려졌다.

이로 인해 로그4j 취약점 이슈와 관련해서는 일반인이나 사용자들이 취할 수 있는 조치는 없다는 게 전문가들의 의견이다. 문제는 그렇다고 해서 일반 사용자가 피해를 입지 않을 것이란 보장은 없다. 로그4j를 사용하는 서버나 앱, 서비스가 대중, 즉 일반 사용자를 대상으로 사용될 경우 외부 공격으로 인해 일반 사용자도 피해를 입을 수 있기 때문이다.

실제로 이번 이슈가 알려진 계기 중 하나가 우리에게 잘 알려진 게임 ‘마인크래프트(MINECRAFT)’였기 때문이다. 자바 기반의 마인크래프트 버전에서 프로그래밍 코드로 이뤄진 메시지를 채팅창에 입력하면 목표 컴퓨터의 권한을 탈취할 수 있는 게 알려진 탓이다. 마인크래프트 사건만 봐도 일반 사용자가 로그4j 취약점으로 인해 피해를 입을 가능성은 충분히 입증됐다.

해외에서는 마인크래프트를 보유하고 있는 마이크로소프트를 비롯해 애플과 아마존, 트위터와 VM웨어 등 굵직한 IT 기업들이 로그4j를 사용하는 것으로 알려졌지만, 국내의 경우 해당 취약점에 영향을 받는 기업 및 서비스 리스트나 패치 현황 등이 제대로 알려지지 않은 상태다. 다만, 전자정부의 표준프레임워크에서 이를 사용하고 있다고 패치를 권장하고 있는 상황이다.

이에 일부 보안전문가들은 국내 기업들도 로그4j 취약점에 영향을 받는지 여부를 신속하게 공개하는 한편, 철저한 조치를 통해 피해를 최소화해야 한다고 입을 모은다. 이미 로그4j 취약점이 공개되기 9일 전인 12월 1일에 이미 익스플로잇 시도가 발견된 만큼, 기업이나 기관도 모르는 사이 공격 당했을 가능성도 있기 때문이다. 일반 사용자가 로그4j 취약점에 대비를 하고 싶어도 어느 앱이나 서비스가 영향을 받는지 알 수 조차 없어 불안감만 키워서는 안 된다는 보안전문가의 지적은 되새길 만하다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>