|
10일(현지시간) AP통신 등은 인터넷 서버용 소프트웨어인 ‘로그4j(log4j)’에서 심각한 해킹을 야기할 수 있는 취약점이 발견됐다고 보도했다.
로그4j은 오픈소스 로깅 라이브러리로, 여기서 로깅이란 인터넷 서버 등의 유지 관리를 목적으로 동작 상태 정보를 기록으로 남기는 일을 의미한다. 사실상 거의 모든 인터넷 서버가 기록 관리를 하기 ㅤㄸㅒㅤ문에 이 소프트웨어를 사용하는 것으로 알려졌다.
로그4j의 취약점은 역대 비디오게임 판매량 1위인 온라인게임 ‘마인크래프트’에서 처음 확인됐다. 컴퓨터 코딩 언어의 일종인 자바(Java)로 개발된 마인크래프트 버전에서 프로그래밍 코드로 이뤄진 특정 채팅 메시지를 입력하면 대상 컴퓨터에서 원격으로 프로그램을 실행시킬 수 있는 현상이 관찰된 것이다.
AP통신은 이번에 찾은 취약점을 공격하면, 해커들이 목표 대상 컴퓨터의 모든 권한을 취득할 수 있으며, 비밀번호도 없이 서버를 통해 내부망에 접근해 데이터를 약탈하거나 악성 프로그램을 심어 실행시키고, 심지어는 자료를 삭제할 수도 있다고 보도했다.
마인크래프트를 보유하고 있는 마이크로소프트는 즉시 업데이트를 개발해 적용한 다음 “업데이트를 적용한 고객들은 보호받을 수 있다”고 공지했다.
그럼에도 AP통신은 게임 서버나 클라우드 서버를 운영하는 정보기술(IT) 기업체는 물론이고 웹사이트를 운영하는 기업들, 심지어 정부 기관까지 이 로그4j를 활용하고 있기 때문에 심각한 해킹 위험에 놓여 있다고 전했다. 실제로 애플, 아마존, 트위터, 클라우드플레어 등 글로벌 IT기업 역시 로그4j를 이용하는 상황이다.
이에 따라 오픈소스 프로젝트를 지원·관리하는 아파치소프트웨어재단은 이 취약점의 보안 위협 수준을 1∼10단계 중 최고 등급인 ‘10단계’라고 평가했다.
미국 사이버보안 관련 업체 크라우드스트라이크(CRWD)의 애덤 메이어스 전무는 “서버 관리자들은 패치를 서두르고 있고, 해커들은 취약점 공격을 시도하고 있다”며 “이미 이 취약점이 ‘무기화’됐다”고 말했다. 해커들이 취약점을 공격할 도구 개발을 마치고 이미 공격에 들어갔다는 의미다.
보안 업체 텐에이블(Tenable)의 아밋 요란 최고경영자(CEO)는 이 취약점에 대해 “최근 10년간 가장 치명적이고 거대한 문제가 발견된 것으로 지금 위험에 처하지 않은 회사가 없다”며 “ 현대 컴퓨터 인터넷 역사를 통틀어 최악의 보안 결함일 수도 있다”고 말했다. 그는 “이미 서버가 공격당한 것으로 가정하고 최대한 조치를 서둘러야 한다”고 강조했다.