패치도 소용없는 `로그4j` 취약점 또 발견

전 세계 인터넷 서비스에 사용되는 '로그4j'(로그4셸)의 취약점이 잇따르면서, 현장의 혼돈이 커지고 있다.

국내 보안기업들이 스캐닝 서비스를 선보이고 정부 역시 신속한 업데이트를 강조하는 등 대응에 나서고 있지만, 새로 발견될 허점을 배제할 수 없어 적극적인 조치가 어려운 실정이다.

미국 오픈소스 비영리재단인 아파치소프트웨어는 지난 18일(현지시간) 로그4j의 새로운 취약점'CVE-2021-45105'을 보완하기 위한 2.17 버전 패치를 공개했다. 새 취약점은 프로세스를 종료시키는 오류를 발생시킬 수 있으며, 취약점 점수(CVSS)는 10점 만점에 7.5점으로 매겨졌다.

지난달 말 CVSS 10점의 최초 취약점이 발견돼 2.15 버전 패치를 내놓은 이후 벌써 세 번째다. 아파치 재단은 2.17 버전으로 업데이트를 권고하는 한편, 취약점에 대한 정보가 알려지면 지속적으로 안내할 계획이다.

아파치 재단이 제작한 로그4j는 홈페이지 등 인터넷 서비스를 운영하고 관리할 목적으로 접속(로그) 기록을 모으기 위해 사용된다. 널리 사용 중인 프로그래밍 언어 자바(java) 기반의 무료 오픈소스 유틸리티로, 애플·아마존·트위터 등 대부분 정보기술(IT) 회사는 물론 일선 기업, 정부기관 등에서 기본적으로 사용하고 있다.

해커들이 로그4j의 취약점을 악용해 공격에 나서면 서버 내부망의 데이터에 접근해 악성 프로그램을 심는 등 피해를 유발할 수 있어 신속한 대응이 필요하다.

로그4j 취약점에 대한 소식이 국내에도 전해지자 보안 기업들이 발빠르게 움직이고 있다. SK쉴더스는 취약점 관련 해킹 여부를 확인할 수 있는 무료 점검 툴을 공개했고, AI(인공지능) 플랫폼 전문기업 로그프레소는 최신 취약점을 반영한 오픈소스 스캐너를 배포하고 있다. 로그프레소 관계자는 "오픈소스로 제공하다 보니 국내외 많은 개발자들에게서 피드백을 받고 있다"며 "로그4j 1 버전에 존재하는 취약점도 대응하는 중"이라고 말했다.

정부는 아파치 재단이 발표한 최신 업데이트를 널리 알리는 등 대응에 주력하고 있지만, 기업 내 IT·보안 담당자들 사이에서는 계속 발견되는 취약점과 신규 패치로 곤혹스런 분위기다.

한 보안업계 관계자는 "자바를 사용한다면 공격에 그대로 노출되어 있다고 보면된다"면서도 "최신 버전 패치를 바로 받아들여도 또 다시 취약점이 나타날 수 있어 어떤 대응을 해야할지 고민스럽다"고 전했다.유선희기자 view@dt.co.kr