오픈소스 서버 소프트웨어 ‘Log4j’서 보안 취약점 확인돼
월스트리트저널(WSJ)은 11일(현지시간) 아마존닷컴과 트위터, 시스코시스템스 등 IT 대기업들이 새 버그 발견에 보안 경보를 발령하고 새 패치 등 조치를 진행하고 있다고 보도했다.
세계 최대 클라우드 컴퓨팅 기업인 아마존의 보안 책임자는 “현재 적극적으로 버그를 감시하고 있으며, 이를 해결하기 위해 노력하고 있다”고 말했다. IBM과 레드햇, 오라클, VM웨어 등은 패치를 배포하고 있다고 밝혔다.
이번 버그는 오픈소스 서버 소프트웨어인 ‘Log4j’에서 발견됐다. 해커들은 버그를 이용해 로그 파일을 바꿔 이용자 기록을 확보하고, 사용자가 악성 소프트웨어를 사용자가 강제로 받도록 명령을 바꿀 수 있다. 미국 사이버보안 및 인프라 보안국(CISA)은 전날 기업들에 취약한 보안 문제를 경고하고, 제대로 된 조치를 촉구했다. 특히 Log4j는 기업들이 폭 넓게 쓰고 이미 수백 만 회 다운로드 됐기 때문에 피해 규모가 매우 커질 수 있다고 WSJ는 지적했다.
보안회사 랜도리의 아론 포트노이 수석 과학자는 “해당 버그는 악용되기 쉽고, 차단하기 어려워 해커들이 Log4j 문제를 이용해 회사 네트워크에 침입할 수 있다”고 언급했다.
이메일 주소에서부터 웹 탐색 요청에 이르기까지 모든 종류의 데이터가 서버에 기록되기에 버그 공격 자체가 기업 네트워크의 가장 취약한 서버에 대한 해킹 발판을 제공할 수 있다.
오픈소스 소프트웨어가 보안 문제를 일으킨 건 이번이 처음이 아니다. 지난 2014년, 전 세계 인터넷 사용자들은 OpenSSL에서 ‘하트블리드’라는 버그에 노출돼 비밀번호를 바꾸라는 지시를 받기도 했다.
최근 해커들은 마인크래프트 게임 소프트웨어를 구동하는 서버에 접속하기 위해 이 같은 결함을 이용한 것으로 전해졌다. 마이크로소프트(MS)는 마인크래프트 사용자들에게 버그를 해결하기 위해 소프트웨어를 업그레이드하라고 권고했다. 보안회사 체크포인트소프트웨어테크놀로지스 측은 “이 버그를 이용하려는 시도가 24시간 동안 10만 건 이상 있었다”고 분석했다. 이 중 절반은 악성 해커가 시도한 것으로 추정됐다.
페이스북 보안 컨설턴트로 일했던 라이언 맥게한은 “성공적인 해킹은 벌레 먹은 구멍을 만드는 것과 같다”며 “공격자도 그들이 어디로 끝날지 확신하지 못한다”고 우려했다.