온라인게임 '마인크래프트'. [AP=연합뉴스]
인터넷 서버용 소프트웨어인 ‘로그4j’(log4j)에서 심각한 해킹을 야기할 수 있는 취약점이 발견돼전 세계 사이버 보안 업계가 발칵 뒤집혔다고 AP통신이 10일(현지시간) 보도했다.
보도에 따르면 게임 서버나 클라우드 서버를 운영하는 정보기술(IT) 기업체는 물론이고 웹사이트를 운영하는 기업들, 심지어 정부 기관까지 이 소프트웨어를 활용하고 있어 심각한 해킹 위험에 노출될 수 있다는 우려가 제기된다.
문제가 지적된 소프트웨어는 오픈소스 로깅 라이브러리 ‘로그4j’다. 로깅이란 서버·프로그램 등의 유지 관리를 목적으로 동작 상태를 기록으로 남기는 일을 말하는데, 사실상 거의 모든 서버가 이 라이브러리를 사용하는 것으로 알려졌다.
이날 발견된 취약점을 공격하면, 해커들이 목표 대상 컴퓨터의 모든 권한을 취득할 수 있다.
비밀번호도 없이 서버를 통해 내부망에 접근해 데이터를 약탈하거나 악성 프로그램을 심어 실행시키고, 심지어는 자료를 삭제할 수도 있다고 AP통신은 보도했다.
보안 업체 “최근 10년간 가장 치명적”
보안 업체 텐에이블의 아밋 요란 최고경영자(CEO)는 이 취약점에 대해 “지금 위험에 처하지 않은 회사가 없다”며 “최근 10년간 가장 치명적이고 거대한 취약점이다. 현대 컴퓨터 역사를 통틀어 최악의 보안 결함일 수도 있다”고 말했다.
그는 “이미 서버가 공격당한 것으로 가정하고 최대한 조치를 서둘러야 한다”고 강조했다.
특히 애플, 아마존, 트위터, 클라우드플레어 등 거대 IT기업 역시 로그4j를 이용하고 있어 위험에 노출된 상태다.
마인크래프트 첫 발견, 사실상 모든 서버 위험
이 취약점은 역대 비디오게임 판매량 1위인 온라인게임 ‘마인크래프트’에서 처음 확인됐다. 자바(Java) 언어로 개발된 마인크래프트 버전에서 프로그래밍 코드로 이뤄진 특정 채팅 메시지를 입력하면 대상 컴퓨터에서 원격으로 프로그램을 실행시킬 수 있는 것으로 나타났다. 마인크래프트를 보유하고 있는 마이크로소프트는 즉시 업데이트를 적용하고 “업데이트를 적용한 고객들은 보호받을 수 있다”고 공지했다.
전문가들은 문제가 마인크래프트에서 처음 발견됐을 뿐 사실상 모든 서버가 위험한 상태라고 지적한다.
이 취약점은 ‘로그4셸’이라는 별칭이 부여됐다. 오픈소스 프로젝트를 지원·관리하는 아파치소프트웨어재단은 이 취약점의 보안 위협 수준을 1∼10단계 중 최고 등급인 ‘10단계’라고 평가했다.
‘로그4j’ 세계적 해킹 우려에, 국정원 “국내 피해X”
이 같은 외신 보도에 국가정보원은 11일 “실태 파악, 정보공유, 보안패치 안내 등 선제적 조치를 취했다”며 “현재까지 국가·공공기관 대상 관련 해킹 피해 사례는 없는 것으로 확인됐다”고 밝혔다.
국정원은 피해 예방을 위해 취약점 보안패치 적용 등 보안 대책을 국가사이버위협정보공유시스템(NCTI), 인터넷용정보공유시스템(KCTI)과 사이버안보센터 홈페이지를 통해 안내했다.
국정원은 “항상 취약점을 찾고 있는데 이번 사안은 심각하다고 판단해 긴급점검에 들어간 것”이라며 “향후 유관기관과 협력해 피해 차단에 만전을 기하겠다”고 전했다.
한영혜 기자 han.younghye@joongang.co.kr 중앙일보 입력 2021.12.11
'컴퓨터상식' 카테고리의 다른 글
[리뷰] 화제의 윈도11 프리뷰 버전 써보니 (0) | 2021.07.06 |
---|---|
'윈도11' 연내 출시, PC용 OS 이미지 탈피··· 윈도10에서 무료 업그레이드 (0) | 2021.06.27 |
지하철에서도 시간을 알차게, 노트북으로 변신하는 태블릿 '서피스 고 2' (0) | 2020.08.01 |
D-5 '윈도7 지원 종료'...윈도10 대처법 AtoZ (0) | 2020.01.09 |
사무용 PC = 낮은 성능? No! (0) | 2019.07.16 |