로그4j는 아파치재단이 지원·관리하는 자바 기반의 오픈소스 로깅 라이브러리다. 서버·프로그램 유지 관리 중 발생하는 모든 기록 관리를 지원한다. 민간 기업은 물론 금융, 의료 등 주요 정보통신기반시설과 기관 등에서 광범위하게 활용되고 있다.
지난해 12월 로그4j에 치명적인 보안 취약점이 발견되면서 전 세계에 비상이 걸렸다. 악의적 의도를 가진 해커가 로그4j의 취약점을 공격하면 비밀번호 없이 내부망에 접근해 데이터를 엿보거나 탈취할 수 있다. 랜섬웨어와 같은 악성코드를 심어 시스템을 마비시키는 것도 가능하다.
오픈소스 소프트웨어(SW)에 대한 보안이 국가 안보를 위협하는 수준에 이르면서 각국 정부도 긴급 대응에 나섰다. 올해 초 미국 정부는 백악관에서 국방부, 국토안보부 산하 사이버보안·인프라 안보국, 아파치재단, 구글, 애플, 아마존, MS 등 주요 IT기업과 함께 로그4j 취약점과 잠재적 보안 위협에 대한 대책을 논의했다.
과학기술정보통신부 역시 지난해 말 발표한 '2022년 사이버위협 전망 보고서'에서 로그4j 취약점을 올해 주의해야 할 보안 위협 중 하나로 꼽았다. 이보다 앞서 과기정통부가 국내 주요 정보통신 기반 90개 기관, 147개 시설을 대상으로 로그4j 취약점 긴급 점검을 실시한 결과 민간 분야 147개 기반 시설 중 30개 시설에서 로그4j 2를 사용하고 있는 것으로 조사됐다.
보안업계는 로그4j 취약점이 공개된 이후 해킹 여부를 확인할 수 있는 무료 점검 툴을 배포하고 보안 패치 적용 등을 적용했다. 아직 국내에서 피해 사례가 보고되지 않았지만 지속적인 모니터링과 업데이트를 통해 면밀한 대응이 필요하다.
박정은기자 jepark@etnews.com
