[디지털투데이 강진규 기자] 전 세계적으로 널리 사용되는 아파치(Apache) 소프트웨어에 최고 위험 수준의 보안 취약점이 발견돼 비상이 걸렸다.

미국 AP통신은 온라인 게임 마인크레프트와 관련된 소프트웨어 도구의 치명적인 취약점이 발견돼 전 세계적인 위협으로 빠르게 부상하고 있다고 11일(현지시간) 보도했다.

AP통신은 오픈소스 로깅 라이브러리 로그4j(log4j)에서 취약점이 나타났다고 설명했다. 로그4j는 프로그램 작성 중 로그를 남기기 위해 사용되는 자바 기반의 오픈소스 유틸리티다.

이날 발견된 취약점을 공격하면 해커들이 대상 컴퓨터의 모든 권한을 취득할 수 있다고 한다.

AP통신에 따르면 자바(Java)로 개발된 마인크래프트 버전에서 프로그래밍 코드로 이뤄진 특정 채팅 메시지를 입력하면 컴퓨터에서 원격으로 프로그램을 실행시킬 수 있는 것으로 알려졌다.

국내에서도 로그4j 취약점으로 비상이 걸렸다. 국가정보원은 “인터넷 서버용 소프트웨어인 로그4j(log4j)에서 심각한 해킹을 야기할 수 있는 취약점이 발견됐다는 보도와 관련해 실태 파악,  정보공유, 보안패치 안내 등 선제적 조치를 취했다”고 11일 밤 밝혔다.

국정원은 긴급 점검 결과 현재까지 국가, 공공기관 대상 관련 해킹 피해 사례는 없는 것으로 확인됐다고 설명했다.

국정원은 피해 예방을 위해 취약점 보안패치 적용 등 보안 대책을 국가사이버위협정보공유시스템(NCTI), 인터넷용정보공유시스템(KCTI)과 사이버안보센터 홈페이지를 통해 안내했다.

한국인터넷진흥원(KISA)도 11일 인터넷 보호나라 사이트를 통해 아파치 로그4j 보안 업데이트를 권고했다. 

KISA는 아파치 소프트웨어 재단이 자사의 로그4j 2에서 발생하는 취약점을 해결한 보안 업데이트를 권고했다며 공격자가 해당 취약점을 이용해 악성코드 감염 등의 피해를 발생시킬 수 있으므로 최신 버전으로 업데이트 권고한다고 설명했다.

KISA는 로그4j 2.0-beta9 ~ 2.14.1 모든 버전이 이번 취약점의 영향을 받는다며 최신 버전(2.15.0)으로 업데이트를 해야 한다고 지적했다.

보안업체 이스트시큐리티 시큐리티대응센터(ESRC)도 10일 공지를 통해 아파치 로그4j 2에서 발생하는 취약점(CVE-2021-44228)을 통해 악성코드 감염 등의 피해가 발생할 수 있어 최신 버전으로 긴급 업데이트가 필요하다고 밝혔다.

이스트시큐리티는 이번에 발견된 취약점이 치명적인 결함으로 간주되며, 취약점 스코어에서 10점으로 가장 높은 심각도를 나타냈다고 설명했다.

이스트시큐리티는 지난 11월 24일 알리바바 클라우드 보안팀이 로그4j 2 원격 코드 실행 취약점을 아파치재단에에 공식적으로 보고했다며 이 취약점으로 공격자가 직접 악성 요청을 구성해 원격 코드 실행 취약점을 유발할 수 있다고 경고했다.

이스트시큐리티는 이 취약점 악용에 특별한 구성이 필요하지 않으며 알리바바 클라우드 보안팀의 검증결과 아파치 Struts2, 아파치 Solr, 아파치 Druid, 아파치 Flink 등이 모두 영향을 받는 것으로 알려졌다고 지적했다. 이스트시큐리티는 해당 취약점 수준은 심각으로 사용자 여러분들의 빠른 패치가 필요하다고 권고했다.