사상 최악의 보안 사고, 로그4j 보안 취약점 사례

오늘은 컴퓨터 역사상 가장 최악의 보안 사고로 남을 수 있는 있는 로그4j(Log4j) 보안 취약점에 대해서 말씀드려보겠습니다. 보안 취약점이라고 하면 보통 취약한 함수를 사용하거나, 데이터를 제대로 검증하지 못하는 등 개발상 실수로 인해 발생할 수 있는 원격 코드 실행, 인증 우회와 같은 취약점에 대해 생각하실텐데요. 지금까지는 이런 취약점들이 하나의 프로그램에만 영향을 미치거나 파급력이 그리 크지 않았기 때문에, 개발사의 패치나 보안 업데이트를 통해서 일단락 될 수 있었기에 큰 이슈가 되진 않았습니다. 하지만 오늘 말씀드리는 사례는 거의 모든 서버에 영향을 미칠 수 있는 취약점으로 분류가 되어 전 세계가 비상에 걸렸는데, 여기에 대해 간단히 설명드려보죠.

​

문제가 되고 있는 로그4j 라이브러리는 로깅을 하는데 사용하는 자바 언어로 제작된 오픈소스 라이브러리입니다. 로깅(Logging)은 서버나 프로그램의 상태를 관리하기 위한 목적으로 동작 기록을 남기는 작업을 의미하는데요. 이 라이브러리는 오픈소스인 배포된데다가 사실상 자바로 개발된 거의 모든 서버들이 이 라이브러리를 사용하고 있기 때문에 엄청난 파급력을 가진다고 하죠. 일반적으로 저희가 알고 있는 이동통신사나 ISP뿐만 아니라 대부분 기업들이 해당 라이브러리를 사용하고 있기 때문에, 주말인데도 불구하고 이에 대한 보안 패치를 위해 개발자분들이 출근을 해서 밤을 새웠다고 합니다.

​

해당 취약점의 경우 특정 함수에서 데이터를 검증하는 부분이 미흡하여 해커가 전송한 코드를 그대로 실행시키는 RCE(Remote Code Execution)가 가능한 취약점이기 때문에 더 문제가 큽니다. 거기다가 이번 취약점을 통해서 해커들이 이미 상당수 공격을 진행했다는 우려가 커지고 있죠. 얼마나 심각한 문제인가하면 Log4j를 사용하고 있는 대표적인 게임인 마인크래프트를 예로 들었을 때, 서버에 로그인하는 것만으로도 해커가 피해자의 컴퓨터를 원격으로 조종할 수 있다고 합니다. 즉, 해커가 피해자의 컴퓨터에 전달하는 명령어를 그대로 실행시킬 수 있고, 그렇게 되면 피해자 컴퓨터의 모든 권한을 획득할 수 있다는 의미입니다.

 

역대급 ‘로그4j’ 취약점 노린 다크웹 기반 해커들의 움직임은?

제가 초기 썼던 에세이 중 "오픈소스 취약점 의존성 문제"에서 오픈소스를 사용함으로써 발생하는 취약점 디펜던시에 대해서 자세하게 설명을 드렸던 적이 있죠. 완전히 동일하진 않지만 오늘 말씀드린 사례도 일종의 디펜던시 때문에 발생한 문제라고 봐도 무방합니다. 그래도 그나마 다행인 것은 보안기업이나 정부에서 발 빠르게 보안 패치를 권고하고 있고, 취약점 스캐너를 무료로 배포해서 피해를 줄이고 있다는 점인데요. 해커들이 이번 취약점을 가지고 특히 금융권에 공격 시도를 많이 할 것으로 보이는데, 신속한 대응을 통해 피해를 입지 않았으면 하는 바람입니다. 그럼 오늘은 여기까지 설명드리도록 하겠습니다. 읽어주셔서 감사합니다.