[시큐리티] 역사상 최악의 위협 'Log4j' 사태를 보며 …
[시큐리티] 역사상 최악의 위협 'Log4j' 사태를 보며 …
  • 임홍철 전문위원
  • 승인 2021.12.30 15:12
  • 댓글 0
  • +더보기
이 기사를 공유합니다

▲ 임홍철 보안전문위원
▲ 임홍철 전문위원

한 해가 저물어가는 2021년 12월 초, 주말을 맞아 쉬고 있던 전 세계 정보보안조직을 청천벽력 같은 소식이 강타했다. 'Log4j'의 취약점이 발견되어 시급한 조치가 필요하다는 내용이었다.

너무나 파급력이 강하고 위험도가 높아 '역사상 최악의 위협'이라는 표현까지 등장할 정도로 세계 보안조직 전체를 긴장하게 만든 소식이었다.

정보보안조직을 더욱 다급하게 만든 것은 대체 어느 프로그램에 이 Log4j 가 사용되었는지 알지 못한다는 당혹감이었다. 대상이 파악돼야 취약점 조치를 적용할 수 있기 때문이었다.

따라서 취약점에 대한 조치보다도 대체 어느 프로그램에서 이 Log4j 라는 기능을 가져다가 사용했는지에 대한 파악이 시급했기에 부랴부랴 사내 여러 부서에 사용여부를 조사해달라는 요청을 보내고, 회신된 조사결과를 토대로 대상여부를 파악해 조치를 수행해 나가는 과정을 거쳐야만 했다.

엎친데 덮친격이라고 할까. 12월 말까지 Log4j 관련 취약점 조치가 3번에 걸쳐 이뤄지고 있다. 초기 취약점에 대한 조치를 수행한 버전의 취약점이 또 발견돼 재조치하고 재조치 버전의 취약점이 또 발견돼 다시 재조치를 하고 있는 상황이다.

이쯤 되면 세계 정보보안조직 담당자들은 속된 말로 '맨붕' 상태라고 봐야 될 것이다. 조용히 차분하게 보내고 싶은 연말을 Log4j의 등장으로 인해 긴장된 상태로 보내고 있으니 말이다. 게다가 이 사태의 처리는 연말을 지나 내년 연초까지 이어질것이 명약관화한 상태다. 이 긴장의 시간이 내년까지 이어지는 것이다.

정작 가장 심각한 점은 Log4j의 정체다. Log4j는 오픈소스이기 때문이다.

오픈소스란 오픈소스 소프트웨어(Open Source Software·OSS)를 뜻하는 용어로 공개된 프로그램 라이브러리를 일컫는다. 공개적으로 액세스할 수 있게 설계돼 누구나 자유롭게 확인, 수정, 배포할 수 있는 프로그램 소스 코드다.

개발자가 직접 개발하기에는 너무 많은 시간과 노력이 필요한 기능을 오픈소스를 가져다 개발하면 즉시 기능 구현이 가능하다는 장점이 있어 전 세계적으로 널리 이용되고 있다.

프로그램 개발에 필요한 시간과 노력, 인력, 비용을 획기적으로 줄일 수 있어 현재 개발되는 모든 프로그램에 다양한 종류의 오픈소스가 활용되고 있다. 분야도 AI, 빅데이터, 가상현실, 게임 등을 가리지 않고 거의 모든 산업분야에 활용되고 있다.

Log4j가 전 세계적인 위협을 만들 수 있었던 배경은 바로 오픈소스였기 때문이다. 누구나 손쉽게 프로그램 개발에 이용할 수 있는 소스 코드. 얼마나 많은 프로그램에 이용됐는지 그 규모를 가늠할 수 없고 알지도 못하는 소스 코드. 취약점 조치보다도 어느 프로그램에 이용됐는지 확인이 먼저 필요했던 소스 코드, 그것이 오픈소스다.

그런데 그렇게 이용되고 있는 오픈소스가 Log4j 말고도 수두룩하다. 얼마나 많은 프로그램에 이용됐는지 그 규모를 가늠할 수 없고 알지도 못하는 소스 코드가 굉장히 많이 존재하고 있는 것이다.

그 중 하나인 Log4j의 취약점으로 전 세계가 허둥지둥 대었고, 취약점에 대한 조치를 하느라 세계 정보보안조직이 연말연시를 긴장하며 보내고 있다. 

이제 시작이다. 세상 모든 것은 대가가 따른다. 오픈소스 사용으로 시간과 노력, 인력, 비용을 줄일 수 있었다면, 취약점이 발견되면 역시 그에 따른 시간과 노력, 인력, 비용의 지불을 요구할 것이다.

겨우 하나의 오픈소스 취약점으로 놀랐던 세계는 이제 다른 오픈소스들의 취약점 공습에 대비해야만 한다.

▶클릭하면 세이프타임즈 후원 안내를 받을 수 있습니다


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.