[뉴스해설]피해 파악 어려워...SW 세부 내역 파악해야

국가정보원 등에 따르면 공공부문에서 로그4j(log4j)로 인한 피해는 아직 확인되지 않았다. 그러나 로그4j가 오픈소스로 공급돼 사실상 광범위에게 활용되고 있기 때문에 드러나지 않은 피해가 존재할 공산이 크다는 게 전문가 분석이다.

◇피해 확인조차 어려워

오픈소스를 사용하는 개발환경의 경우에 하나의 라이브러리가 다른 여러 라이브러리를 가져다 사용하는 특성 때문에 정부 기관 및 기업이 로그4j 로깅 기능을 사용하면서도 이를 인지하지 못할 수 있다.

오픈소스 프로젝트를 지원·관리하는 아파치소프트웨어재단은 취약점의 보안 위협 수준을 1∼10단계 중 최고 등급인 10단계로 평가했다. 그만큼 공격이 쉽다는 의미다. 이미 해외에선 취약점 공격 시도 사례가 보고 되고 있다. 취약점이 무기화됐다는 분석이다.

문제가 마인크래프트에서 처음 발견됐을 뿐 사실상 모든 서버가 위험한 상태다. 애플, 아마존, 트위터, 클라우드플레어 등 거대 IT기업 역시 로그4j를 이용하고 있어 위험에 이미 노출됐다. 국내 사정도 크게 다르지 않다.

보안기업 관계자는 “로그4j는 사실상 대다수 웹서버에서 쓰이고 있기 때문에 피해 대응이 늦을수록 문제가 커질 수 있다”며 “취약점을 공격하면 로그인없이도 해당 서버에 칩입할 수 있고 개인정보 탈취는 물론 랜섬웨어 삽입 등 다양한 형태의 공격이 가능하다”고 설명했다.

당장은 현재 무료 배포된 취약점 점검 서비스 등으로 로그4j 사용 여부를 파악하고 보안패치설치로 취약점을 제거하는 대응이 빠르게 이뤄져야 한다는 지적이다.

과기정통부는 기반시설, ISMS 인증기업(758개사), CISO(23,835명), C-TAS(328개사), 클라우드 보안인증 기업(36개사), 웹호스팅사(477개사), IDC (16곳) 등을 대상으로 긴급 전파하였고 해당서버를 사용하는 기업들에게도 신속한 조치를 강조했다. 한국인터넷진흥원 보호나라 보안공지에 따라 긴급하게 보안조치를 해줄 것을 당부했다.

◇소프트웨어 명세서 도입 논의 촉발할까

보안 전담팀이 없는 중소기업이나 개인 사업자는 로그4j 활용 현황 파악부터 어려움을 겪는다. 또, 대기업이라 하더라도 제3자를 통해 서비스를 구축한 경우, 오픈소스 사용 현황을 명확하게 파악하지 못할 수 있다.

현재 상황에선 로그4j뿐 아니라 향후 비슷한 문제가 다시 발생해도 대응에 어려움을 겪긴 매한가지다. 이런 문제를 방지하기 위해 미국은 공급업체가 각 제품에 대한 소프트웨어 자재 명세서(SBOM)를 제공토록하는 하는 방안을 추진중이다.

소프트웨어 제품 공급시 사용한 오픈소스 등 모든 내역을 내역화해 구매자가 이를 파악할 수 있도록 하자는 취지다. 현재 이와 관련해 소프트웨어 공급사가 어려움을 호소하고 있지만 필요성에 대해선 이견이 없는 상황이다.

국내에서도 이같은 방안을 활용, 보안성을 강화해야 한다는 목소리가 설득력을 얻고 있다.

이희조 고려대 소프트웨어보안연구소(CSSA) 연구소장(교수)은 “현재 로그4j 사용 지점 및 유무, 버전 파악 등에 어려움을 겪는 기업이나 개인이 많을 것”이라며 “소프트웨어 명세서를 활용하면 오픈소스 구성요소까지도 정확하게 탐지할 수 있기 때문에 신속 대응이 가능하다”고 설명했다.

이 교수는 “공공부문에서 사용하는 소프트웨어 보안관리에 이같은 방안을 적용하고 인센티브를 제공하는 방식 등을 생각할 수 있다”고 덧붙였다.

최호기자 snoop@etnews.com