디지털타임스

 


IT기업들 `로그4j` 헬프데스크 가동

프린트 페이스북 트위터 카카오스토리
LG CNS·더존비즈온 동시 대응
해커 공격대비해 비상근무체제
보안워룸… 고객 문의사항 답변
유사한 보안 이슈 발생도 서비스
IT기업들 `로그4j` 헬프데스크 가동
더존비즈온 강촌캠퍼스 전경

LG CNS, 더존비즈온 등 IT기업들이 최근 치명적인 보안 취약점이 발견된 오픈소스 로깅 라이브러리 '로그4j'(log4j) 문제에 대응하기 위해 헬프데스크를 가동하고 비상 근무체제에 돌입했다. 기업들이 적시에 대처하지 못해 해커들의 악의적인 공격에 당하지 않도록 지원하기 위해서다. 로그4j 보안 취약점을 악용해 해커 등 공격자가 원격에서 공격코드를 실행시킬 경우 기업에 심각한 피해를 입힐 수 있다.

LG CNS는 고객사들에 공격자 의심 IP 차단, 로그4j 패치, 웹 애플리케이션 방화벽 설정 등 대응 가이드를 배포한 데 이어 비상 헬프데스크를 가동했다. 이를 통해 대응 가이드에 대한 상세 설명을 제공하고, 고객 문의사항에 답변해 주고 있다. 이는 일종의 '보안 워룸'으로, 고객사에 발생하지도 모를 피해를 최소화하기 위한 조치라는 게 회사 측의 설명이다.

LG CNS는 보안, 클라우드, 아키텍처, 솔루션 등 사내 DX(디지털전환) 전문조직을 총동원한 비상 근무체제에 돌입했다. 보안 전문가는 물론, 개발과 인프라 등 관련 전문가들이 전진 배치됐다. 향후 로그4j 사태가 국가적 IT 재난으로 확산될 경우에 대비해 고객사가 아니더라도 도움이 필요한 기업에 헬프데스크 지원을 하는 방안도 검토하고 있다. LG CNS는 공식 블로그를 통해서도 대응 방안을 업데이트하고 있다.

더존비즈온도 로그4j 보안 취약점에 대응해 전체 고객사 대상 보안 업데이트를 지원하고 나섰다. 고객 보호 차원에서 유지보수 서비스에 가입하지 않은 고객사에도 보안 조치가 돕고 있다.

더존비즈온 관계자는 "보안 취약점이 알려진 즉시 유지보수 서비스 가입 여부에 관계없이 자사 제품을 사용하는 기업 고객 전체를 대상으로 긴급 업데이트를 하고 있다"면서 "유지보수 서비스 가입 고객사의 경우 이미 보안 조치가 완료됐으며, 책임 경영의 일환으로 유지보수 서비스 미가입 고객사에도 개별 연락을 통해 보안 조치를 하고 있다"고 밝혔다. 특히, 클라우드 SaaS(SW서비스) 방식으로 제품과 솔루션을 사용 중인 고객사는 향후 유사한 보안 이슈가 발생하더라도 별도 조치 없이 즉각적이고도 지속적인 보안 서비스를 제공받을 수 있다는 설명이다.

더존비즈온은 로그4j 문제가 마무리될 때까지 고객을 보호하고 피해를 예방하기 위해 고객센터를 중심으로 구멍 없는 보안을 위한 선제적 대응에 나설 계획이다.

로그4j는 프로그램 개발 유틸리티로, 개발자는 이를 이용해 프로그램 작동 기록(로그)을 기록보관소(라이브러리)에 남기는 기능을 탑재할 수 있다. 최근 외부 침입자가 로그4j를 통해 서버 관리자 권한을 탈취할 수 있는 보안 취약점이 포착됐다. 침입자가 로그4j를 공격해 계정과 비밀번호 입력 없이 서버 관리자 권한을 획득하면 서버에 악성코드를 몰래 심거나, 원하는 정보를 유출하고 중요 데이터를 마음대로 삭제할 수 있다.

로그4j는 온라인 쇼핑몰부터 금융 서비스, 사내 인트라넷에 이르기까지 국내외 시스템에 폭넓게 적용된 것으로 추산된다. 즉각적이고 지속적인 보안 대책이 필요한 이유다.

한편, 이번 사례는 소프트웨어 유지보수의 중요성을 알리는 계기가 되고 있다. 그동안은 제품 구매 시 보장되는 하자보수와 달리 별도의 계약을 통해 지원되는 유지보수 서비스에 대한 필요성이 경시돼 온 것이 사실이다. 이번 보안 조치는 사안의 엄중성 때문에 대승적인 차원에서 이뤄지지만, 안정적인 소프트웨어 운용을 위해서는 반드시 유지보수 계약을 맺도록 정부도 권고하고 있다.

지용구 더존비즈온 솔루션사업부문 대표는 "대규모 취약점이 발견된 만큼 고객보호 차원에서 선제적 조치를 했다"며 "기업의 디지털 전환을 돕는 선도기업으로서 책임경영을 위해 고객과의 상생이라는 근본 가치를 실행에 옮기겠다"고 말했다.

배민 LG CNS DT(디지털기술)사업부 보안사업담당 상무는 "LG CNS 고객이라면 로그4j 걱정 없이 IT시스템을 운영할 수 있도록 통합 지원책을 선제적으로 제공하고 있다"고 밝혔다.

안경애기자 naturean@dt.co.kr

IT기업들 `로그4j` 헬프데스크 가동
서울 마곡 LG CNS 사옥 전경






[ 저작권자 ⓒ디지털타임스, 무단 전재 및 재배포 금지 ]