[뉴스로드] 컴퓨터 역사상 최악의 취약점이 발견돼 IT업계가 술렁이고 있다. 트위터, 스팀, 애플, 아마존 등 글로벌 대기업들도 해킹 위험에 놓였을 정도다.

과학기술정보통신부는 아파치소프트웨어재단의 로그4j 2(Apache Log4j 2)에서 취약점이 발견됐다며 IT업계에 긴급 보안 업데이트를 12일 권고했다. 로그4j란 개발자들이 웹서비스 작동 상황을 시간대별로 기록하고, 오류를 해결하기 위해 사용하는 프로그램이다.

해커가 로그4j 2의 취약점을 공격할 경우, 대상 PC를 원격 조종하거나 랜섬웨어 등 악성코드를 심을 수 있다. PC에 보관된 파일을 해커가 삭제하는 일도 가능하다.

아파치소프트웨어재단은 로그4j 2 취약점의 보안 위협 수준이 1~10단계 중 최고인 10단계라고 경고했다. 로그4j 2는 무료로 제공되는 만큼 사용하는 IT업체가 많아, 사실상 전세계 대부분의 웹서비스가 위험에 노출됐던 상황이었다.

해당 취약점은 지난달 24일 알리바바클라우드 보안팀이 처음 발견했다. 아파치소프트웨어재단은 이달 6일 취약점을 제거하는 업데이트를 배포했다.

업계에서 사태의 심각성을 인지하기 시작한 것은 지난주부터다. 미국 온라인커뮤니티 레딧, 트위터 등 회원들이 게임 ‘마인크래프트 자바 에디션’ 해킹 방법을 공유하면서 로그4j 2의 취약점이 널리 전파됐다.

로그4j는 프로그래밍 언어 자바(Java) 기반 프로그램이다. 마인크래프트 자바 에디션은 로그4j 2를 사용하는 게임이다. 이에 마인크래프트 자바 에디션에서는 해커가 채팅 한 줄만으로도 대상의 PC를 조작할 수 있었다.

이후 자사 서버에 로그4j 2를 사용하는 마이크로소프트, AWS, IBM 등은 즉각 보안 업데이트를 실시했고, 고객사들에게도 이 사실을 알렸다. 보안업계는 해커가 로그4j 2 취약점에 쉽게 접근할 수 있고, 위험에 노출된 업체들 수가 방대하는 점에서 ‘컴퓨터 사상 최악의 취약점’이라고 평가한다.

우리 정부의 민원 서비스들도 해당 취약점에 무방비했다. 다만 과기정통부와 국가정보원 등에 따르면 국내 공공기관에 대한 해킹 사례는 없었다.

과기정통부는 국내 IT업체들에게 긴급 점검을 당부했다. 대상은 IT기반시설·ISMS(정보보호관리체계) 인증기업 758곳, CISO(정보보호최고책임자) 2만3835명, C-TAS(사이버 위협 대응 시스템) 328곳, 클라우드 보안인증업체 36곳, 웹호스팅업체 477곳, 데이터센터 16곳 등이다.

한국인터넷진흥원은 IT업체들이 로그4j 2 보안취약점에 대응하기 위해 조치해야 할 사항에 대해 ‘보호나라’ 사이트에 공지하고 있다. 로그4j를 사용하는 업체들은 최신 버전 업데이트를 적용하길 권한다.

뉴스로드 김윤진 기자psnalism@gmail.com