사이버 보안 전문가들 “장기적인 사이버 공격 도구로 악용” 우려
“지난 가을 처음 발견…아직 피해 미미하지만, 앞으로 대형 사고 잇따를 것”
[애플경제 이보영 기자]Log4j 소프트웨어 취약점이 마치 팬데믹 수준에서 일상적 전염병으로 전환한 ‘코로나19’ 엔데믹과 같은 만성적 사이버 범죄 도구가 될 것이라 우려다. 이미 지난해 가을 처음 출현한 Log4j 취약점은 아직은 기존 랜섬웨어처럼 범지구적 사이버 전염병 단계에까진 이르지 않고 있다. 그러나 최근 미 정부가 이를 사이버 엔데믹으로 지정하면서 상황이 달라지고 있다.
조 바이든 미 대통령은 최근 새로운 사이버안전심의위원회를 구성해 이에 대처하도록 했다. 이 기구는 “지난 해 각종 소프트웨어에서 발견된 Log4j 컴퓨터 취약점은 잠재적으로 10년 또는 그 이상 동안 보안 위험을 초래할 장기적인 사이버 엔데믹으로 자리잡을 것”이라고 AP통신 등 언론에게 밝혔다. AP통신에 따르면 위원회는 목요일 새로운 보고서에서 “Log4j 결함으로 인해 당장은 큰 사이버 공격의 징후는 없지만 앞으로 수년간 악용될 것”이라고 말했다.
롭 실버스 국토안보부 차관도 12일(현지시간) 기자들에게 “Log4j는 역사상 가장 심각한 소프트웨어 취약점 중 하나”라고 말했다. 실제로 지난해 말 알려진 Log4j 결함은 인터넷 기반 공격자가 산업용 제어 시스템에서 웹 서버와 가전제품에 이르기까지 모든 것을 쉽게 장악할 수 있게 한다. 이 결함에 대한 최초의 명백한 징후는 마이크로소프트가 출시한, 인기 있는 온라인 게임인 마인크래프트에서 처음 나타났다. 이 결함이 발견되면서 각국의 보안 전문가들은 비상이 걸렸다. 긴급히 경고를 발하고, 취약한 시스템을 패치하기 위해 사이버 보안 전문가들은 필사의 노력을 기울였다.
한편 미 사이버안전심의위원회는 최근 Log4j 취약점이 전문가들이 예상했던 것보다는 낮은 수준이지만 분명 놀랍고 위험한 것임을 강조했다. 또한 아직은 중요한 국가 산업 인프라 시스템에 대한 어떤 중대한 Log4j 공격이 일어난 경우를 접하진 못했지만, 분명 보고되지 않은 일부 사이버 공격들도 있을 것으로 짐작되었다.
위원회는 또 “Log4j가 일상적으로 다른 소프트웨어에 내장되어 있고, 조직에서 시스템에서 실행 중인 것을 발견하기가 어려울 수 있기 때문에 향후 치명적인 공격이 엄청나게 일어날 가능성이 있다”고 경고했다. 그래서 “(Log4j 취약점에 의한) 사이버 공격 ‘붐’은 이제부터가 시작”이라고 말했다.
본래 자바 프로그래밍 언어로 작성된 Log4j는 컴퓨터 사용자 활동을 기록한다. 오픈 소스 아파치 소프트웨어 재단의 후원으로 소수의 자원 봉사자들에 의해 개발되고 배포된 후 상용 소프트웨어 개발자들에게 매우 인기가 높다.
앞서 지난해 가을 처음으로 Log4j 취약점은 중국의 기술 기업 알리바바의 보안 연구원이 발견, 아파치 재단측에 통보한 것으로 알려졌다. 그 후 아파치 재단은 이에 대처할 대응책을 개발하고 출시하는 데만 2주가 걸렸다. 그러나 중국 언론들은 알리바바가 정작 그런 결함을 자국 정부에는 조기에 보고하지 않았고, 이로 인해 당국의 처벌을 받은 것으로 전해졌다.
이에 대해 미 사이버안전심의위원회는 “중국 해커들이 영업비밀을 훔치거나 반체제 인사들을 염탐하는 등 악의적인 수단으로 사용할 수 있는 컴퓨터 결함을 (알리바바 보안 연구원이) 조기에 발견했던 것”이라며 “그러나 중국 정부로선 Log4j 취약점을 아파치 재단에 가장 먼저 알린 것 자체가 또 다른 ‘말썽의 불씨’가 될 것으로 생각했다”고 밝혔다. 즉, 중국 정부는 오랫동안 자국의 해커를 사주해 배후에서 사이버 공격을 조종해왔다는 의심을 받아왔으나, 이를 부인하곤 했다. 그래서 이같은 소프트웨어 취약점의 노출에 더욱 민감할 수 밖에 없다는 해석이다.
한편 심의회는 Log4j 결함의 여파를 완화하고 사이버 보안을 전반적으로 개선하는 데 많은 권고안을 제시했다. 대학교와 지역 단과대학들이 사이버 보안 훈련을 컴퓨터 과학 학위 및 인증 프로그램의 필수 부분으로 만들 필요가 있다는 권고다.
애초 심의회는 비행기 추락사고 등 대형사고를 심의하는 국가교통안전위원회를 모델로 바이든이 지난 5월 서명한 행정명령에 따라 만들어졌다. 15명으로 구성된 이 위원회는 FBI, 국가안보국 그리고 다른 정부 관료들뿐만 아니라 민간 부문 인사들로 구성되어 있다. 이들 위원들은 국토안보위원회가 사이버 보안에 대처하는데 평소 너무 오랜 시간이 걸린다고 비판해왔다.
바이든의 행정명령은 심의회가 ‘솔라윈즈’로 알려진 대규모 러시아 사이버 스파이 캠페인에 대한 조사와 검토를 가장 먼저 하도록 지시한 것이다. 러시아 해커들은 미 국토안보위원회의 사이버 보안 고위 관리들의 계정을 포함한 여러 연방 기관을 공격할 수 있었다. 그래서 이번 조사 결과가 주목을 끌고 있다. 특히 “미 정부가 이번 기회에 심의회의 전문성과 시간을 십분 활용해서 Log4j 결함을 검토하는 것도 그런 노력의 일환”이라고 밝혔다.