[디지털투데이 강진규 기자] 로그4제이(log4j) 취약점에 대한 우려가 2022년 들어서도 계속되고 있다. 국가정보원은 로그4제이 취약점을 악용한 해킹을 우려했으며 과학기술정보통신부, 한국인터넷진흥원(KISA) 등도 경고를 지속하고 있다.

6일 보안업계에 따르면 국정원은 지난 3일 국가공공기관 사이버위기 ‘관심’ 경보를 1월 25일까지 3주 연장하기로 결정했다.

공공 분야 사이버위기 경보는 ‘정상-관심-주의-경계-심각’ 단계로 나뉜다. 국정원은 지난해 8월 3일 사이버위기 ‘관심’ 경보를 발령한 후 이를 계속 유지하고 있다. 당초 올해 1월 4일 경보가 종료될 예정이었지만 국정원은 “국제 및 국가배후 해킹조직의 로그4제이 등 최신 보안위협을 악용한 해킹시도가 지속됨에 따라 현재의 대응 태세를 유지하는 것이 필요하다”고 밝혔다.

로그4제이는 프로그램 작성 중 로그를 남기기 위해 사용되는 자바 기반의 오픈소스 유틸리티 프로그램이다. 그런데 지난해 12월 로그4제이에서 해킹에 이용될 수 있는 중대한 취약점이 발견됐다. 이에 국내외 기관, 보안기업 등에서는 보안패치 설치를 유도하는 등 대응책 마련에 나섰다. 그러나 국정원이 우려할 정도로 여전히 로그4제이 취약점이 문제가 되고 있는 것이다.

로그4제이를 우려하는 것은 국정원 뿐만이 아니다. 과기정통부와 KISA는 지난달 26일 2022년 사이버위협 전망을 발표하면서 로그4제이 취약점에 대해 다시 경고했다.

과기정통부는 2021년 12월 전 세계를 강타한 로그4제이 취약점 문제가 광범위하고 식별이 쉽지 않은 문제와 직접 개발하지 않은 외부 구매 제품의 경우에는 해당 업체가 보안업데이트를 제공해 줘야 하는 문제로 인해 해결까지 상당 기간이 소요될 것으로 예상된다고 밝혔다.

1월 5일 조경식 과기정통부 2차관은 KISA 인터넷침해대응센터를 방문했다. 조 2차관은 “최근 주요 보안 이슈로 부각한 로그4제이 취약점은 사용이 광범위하고 사용 식별이 쉽지 않는 등 정상화까지 상당 기간이 소요될 것으로 예상된다”며 “정부를 중심으로 신속한 취약점 정보공유 체계와 기업의 신속한 보안패치 적용 등 민·관의 협력적 대응·협력을 통해 조기에 관련 위협이 종식될 수 있도록 힘써 달라”고 당부했다.

정부가 로그4제이 취약점 문제를 우려하는 것은 단순한 기우(杞憂)가 아니다. 미국 CNN 등 외신들에 따르면 마이크로소프트(MS)는 지난달 14일 자사 블로그를 통해 정부와 연계된 해커그룹들이 로그4제이 취약점을 이용한 해킹 활동에 나섰다고 경고했다.

또 폴리티코 등 외신들은 지난달 16일 벨기에 국방부가 로그4제이 취약점을 이용한 사이버공격을 받았다고 발표했다고 전했다. 해커들이 로그4제이 취약점을 해킹에 사용하고 있고 실제 피해도 발생한 것이다.

전문가들은 아직 국내에서 로그4제이 취약점으로 인한 피해 사례가 나오지는 않았지만 언제든 사이버공격이 발생할 수 있기 때문에 안심해서는 안 된다고 지적한다.