[IT애정남] 최악의 취약점 '로그포쉘', 어떻게 대처하나요?

남시현 sh@itdonga.com

[IT동아 남시현 기자] 지난 주말부터 보안 업계의 분위기가 심상치 않습니다. 아파치 소프트웨어 재단에서 배포하는 오픈소스 소프트웨어, ‘Log4j 2(이하 로그4j)’에서 원격코드 실행 취약점이 발견됐기 때문입니다. 로그4j는 프로그램 사용 기록(로그)를 남기기 위해 쓰이는 자바(Java) 기반의 오픈소스 유틸리티로, 구글 클라우드와 AWS, 애플, 마이크로소프트, 델, 시스코 등 전 세계 거의 모든 정보 기술 기업은 물론 전 세계 정부가 사용하고 있을 정도로 대중적인 소프트웨어입니다. 이번에 발견된 취약점은 로그4j가 적용된 서버 및 웹에 접속하고 있는 사용자에게 단순히 명령어를 보내는 것만으로 컴퓨터를 원격 조종할 수 있어서 문제가 되고 있습니다. 비밀번호나 보안 체계 등을 완전히 무시하고 말이죠.

이 때문에 해당 소프트웨어를 배포하는 아파치 소프트웨어 재단을 비롯해 전 세계 보안업체와 각국 정부가 긴급히 대책 마련에 나서고 있습니다. 과학기술정보통신부는 지난 12일, 기반 시설, ISMS 인증기업(758개사), CISO(23,835명), C-TAS(328개사), 클라우드 보안인증 기업(36개사), 웹호스팅사(477개사), IDC (16곳) 등을 해당으로 긴급 업데이트를 전파했고, 안랩이나 이스트 시큐리티 등 국내 보안 기업들도 발 빠른 대응을 돕고 있습니다. 그만큼 이번 사태가 심각하다는 의미인데, 일반인 입장에서는 어떻게 대처해야 할까요? RexoOOOO님의 질문주셨습니다. (일부 내용 각색)

출처=셔터스톡
출처=셔터스톡

안녕하세요, 로그4j에 대해 궁금한 점이 있어서 질문드립니다. 언론은 물론 커뮤니티에서도 이번 로그4j가 역대급으로 위험한 문제라고 하는데, 뭐가 문제고 어떻게 대처해야 하는지에 대해서는 찾아보기가 어렵습니다. 아이클라우드나 스팀도 해당 문제에 해당이 된다는데 어떻게 하면 피해를 막을 수 있을까요? 궁금합니다.

로그4j, 역대 최악의 사태가 맞습니다.

RexoOOOO님께서 로그4j가 왜 문제고, 어떻게 대처해야 하는가에 대해 여쭤보셨습니다. 이미 주말 사이 국내는 물론 전 세계적으로 로그4j에 대한 파문이 확산하고 있습니다. 처음 해당 문제가 발견된 마인크래프트에서는 같은 서버에 접속된 다른 사람에게 특정 명령어를 보내면, 명령어에 포함된 내용이 실행되는 것으로 확인됐습니다. 특별한 과정도 없이 그냥 채팅창에 메시지만 치면 웹 페이지에 연결하거나 원하는 프로그램을 강제로 실행할 수 있습니다. 조금 더 쉽게 얘기하자면, 지나가는 차량에 쪽지 한 장을 던졌을 뿐인데 차량의 모든 조작계는 물론, 소유권까지 다 넘어오는 상황으로 비유할 수 있습니다.

극단적으로 악용하면 RexoOOOO님이 말씀하신 아이클라우드에서 저장된 사진이나 데이터를 무단으로 가져가거나, 스팀 라이브러리를 영구 삭제하고 저장된 카드로 결제하는 일은 어렵지 않습니다. 금융 계좌를 털어버리거나, 모든 자료를 잠그고 돈을 요구하고, 심각할 경우 금융 체계를 뒤흔들거나 국가 기반 시설을 마비시키는 일도 가능합니다.

현 상황에서 개발자가 아닌 사용자가 당장 대처할 수 있는 방법은 없습니다. 이번 이슈에 대응하는 방법은 로그4j 오픈소스가 적용된 서버에 보안 업데이트를 반영하는 것이기 때문입니다. 즉, 서버의 관리자가 해당 서버의 보안 문제를 바로잡아야만 악의적인 접근을 피할 수 있습니다. 역으로 말하자면 서버의 관리자가 보안 문제를 해결하지 않는 한, 해커는 메시지를 보내는 것만으로 피해자의 컴퓨터를 제집 드나들 듯 쓸 수 있게 됩니다.

KISA보안나라에서 개발자 및 서버 관리자를 대상으로 Log4j 업데이트 방안을 제시하고 있다. 출처=한국인터넷진흥원
KISA보안나라에서 개발자 및 서버 관리자를 대상으로 Log4j 업데이트 방안을 제시하고 있다. 출처=한국인터넷진흥원

그렇다고 해서 지켜보기만 해선 안됩니다. 일반 사용자라면 자주 사용하는 게임이나 서비스, 스마트폰 등에서 긴급 업데이트가 나오면 즉시 반영하고, 업데이트가 거의 되지 않고 오랫동안 방치된 것으로 보이는 웹 페이지 및 서버는 가급적 접근을 피해야 합니다. 이미 주요 프로그램 및 서비스는 로그4j를 해결하기 위한 절차에 착수했으며, 패치가 어려운 경우 취약점을 완화하는 적용 방안을 내놓고 있습니다. 사용자가 이를 반영하는 방법은 최대한 빠르게 개발자가 배포하는 업데이트를 적용하는 것이지요.

이번 사태가 어느 정도 범위에서 어떤 피해를 입히고, 또 어떤 파문을 일으킬지는 아직까지 예단할 수 없습니다. 모든 시스템을 자주 업데이트하고, 수상한 해외 사이트나 오래된 게임 서버 등 관리 출처가 의심스러운 곳에 대한 접근은 피하시길 바랍니다.

'IT애정남'은 IT제품의 선택, 혹은 사용 과정에서 고민을 하고 있는 독자님들에게 직접적인 도움이 되고자 합니다. PC, 스마트폰, 카메라, AV기기, 액세서리 등 어떤 분야라도 '애정'을 가지고 맞춤형 상담을 제공함과 동시에 이를 기사화하여 모든 독자들과 노하우를 공유할 예정입니다. 도움을 원하시는 분은 IT동아 앞으로 메일(pengo@donga.com)을 주시길 바랍니다. 사연이 채택되면 답장을 드리도록 하겠습니다.

글 / IT동아 남시현 (sh@itdonga.com)

IT동아의 모든 콘텐츠(기사)는 Creative commons 저작자표시-비영리-변경금지 라이선스에 따라 이용할 수 있습니다.
의견은 IT동아(게임동아) 페이스북에서 덧글 또는 메신저로 남겨주세요.