By LILY HAY NEWMAN, WIRED US

사용 범위가 넓은 로깅 라이브러리 취약점이 완전히 발전한 보안 재앙이 돼, 인터넷 전체의 디지털 시스템에 악영향을 주었다. 해커 세력은 이미 해당 취약점을 악용하고 있으나 취약점 수정 후에도 연구팀은 경함이 전 세계에 심각한 파장을 불러일으킬 수 있다고 경고한다.

이번 문제는 애플리케이션 내 활동 기록을 유지하는 데 사용하는 고유 오픈소스 아파치(Apache) 로깅 프레임워크인 로그4j(Log4j)에 존재한다. 보안 대응 담당자는 취약한 시스템 원격 통제에 악용하기 쉬운 버그 패치 작업을 서둘러 진행하고 있다. 그와 동시에 해커 세력은 버그 공격 피해를 본 시스템을 찾고자 인터넷을 적극적으로 스캔한다. 일각에서는 이미 버그 악용 자동화 툴과 함께 적절한 조건에 따라 한 가지 취약한 시스템에서 다른 시스템으로 독자적으로 퍼뜨릴 수 있는 웜까지 개발했다.

로그4j는 자바 라이브러리이며, 자바는 오늘날 소비자에게 인기가 덜한 언어이지만, 엔터프라이스 시스템과 웹 앱에 널리 사용하는 언어이다. 12월 10일(현지 시각), 다수 보안 연구원이 와이어드에 많은 주요 서비스가 로그4j 문제로 타격을 받게 될 것이라고 말했다.

일례로, 12월 10일, 마이크로소프트 계열사 게임인 마인크래프트(Minecraft) 개발팀은 자바 버전 사용자의 시스템 패치 작업 방식을 자세히 설명했다. 마인크래프트의 공식 게시글에는 “이번 보안 취약점은 마인크래프트 자바 에디션을 포함한 많은 서비스에 영향을 미칠 것이다. 이번 취약점은 사용자 컴퓨터 보안 침해 위험성도 일으킬 수 있다”라고 명시됐다. 클라우드플레어(Cloudflare) CEO인 매튜 프린스(Matthew Prince)는 로그4j 문제가 매우 심각해 인터넷 인프라 기업이 자유 서비스의 고객을 위해서도 어느 정도 보호 수준을 배포하려 한다고 말했다.
 
해커 세력이 로그4j를 악용하고자 할 때 필요한 것은 결과적으로 로그 4j 버전 2.0 혹은 상위 버전으로 접속하도록 만드는 전략적으로 전송한 악성 코드 배열이다. 해커 세력은 서버에서 임의의 자바 코드를 실행하고는 피해자 서버를 통제할 수 있다.

오픈소스 데이터 보안 플랫폼 루나섹(LunaSec) CEO 프리 워틀리(Free Wortley)는 “재앙과도 같은 설계 실패이다”라고 말했다. 루나셋 보안 연구팀은 12월 9일 자로 로그4j 경고문과 함께 취약점 초기 평가를 공개했다.
 
온라인 포럼에 유포된 마인크래프트 스크린샷은 플레이어가 마인크래프트의 채팅 기능 취약점을 악용하는 모습을 담았다. 12월 10일, 일부 트위터 사용자는 디스플레이 명칭을 취약점 악용이 가능한 코드 배열로 바꾸기 시작했다. 또 다른 사용자는 아이폰 기기 명칭을 취약점 악용을 위한 코드 배열로 변경하고는 애플에 발견 사항을 제출했다. 연구팀은 와이어드에 해당 접근 방식을 이메일에도 이용할 수 있다고 말했다.

미국 사이버보안 인프라 보안국(CISA)도 12월 10일 자로 로그4j 취약점 경고문을 공식 경고문을 발행했으며, 호주 CERT도 경고문을 발행했다. 뉴질랜드 정부 사이버 보안 기관 공고문은 로그4j 관련 취약점이 널리 악용되는 추세라고 경고했다.

워틀리는 “매우 심각한 문제이다. 많은 사용자가 취약한 상태이며, 누구나 쉽게 악용할 수 있다. 위험성을 완화할 요소가 몇 가지 있으나 현실 세계에서는 로그4j 문제를 서둘러 수정할 최신 버전을 배포하는 기업이 많지 않다”라고 경고했다.

아파치는 로그4j 취약점이 ‘중대한’ 위험성이라고 등급 수준을 평가하고는 12월 10일 자로 패치와 취약점 완화 작업을 배포했다. 아파치는 알리바바 클라우드 보안팀의 첸 자오준(Chen Zhaojun)이 최초로 로그4j 문제를 발견했다고 밝혔다.

이번 문제는 상호 독립적 엔터프라이스 소프트웨어 간 위험 관리가 매우 어렵다는 사실을 부각한다. 마인크래프트 상황과 같이 많은 기관이 자체적으로 패치를 개발하거나 즉시 패치 작업을 시행할 수 없다. 자바 구형 버전을 비롯한 레거시 소프트웨어를 운영하는 탓이다. 게다가 로그4j는 라이브 서비스에서 패치 작업을 진행할 쉬운 요소가 아니다. 간혹 무언가 잘못되었을 때, 악용 시도 대부분을 관찰하고자 할 시점에 기관 클라우드가 로깅 역량을 침해할 수 있기 때문이다.

일반 사용자는 가능할 때마다 다양한 온라인 서비스 업데이트를 설치하는 것 외에 할 수 있는 일이 없다. 다수 기업과 기관이 서둘러 수정 사항을 구축하고자 할 때, 주로 기업 측면에서만 업데이트 설치가 가능하다.

어느 한 주요 소프트웨어 기업 소속 보안 엔지니어는 와이어드에 “보안 성숙도가 높은 기관은 로그4j와 같은 문제가 노출되고 단 몇 시간 이내에 취약점 노출 사항을 평가하기 시작할 것이다. 그러나 일부 기관은 취약점을 평가하는 데 몇 구자 걸리기도 하며, 취약점을 일절 평가하지 않는 기업도 있다”라고 말했다. 해당 보안 엔지니어는 로그4j 취약점 해결을 위해 주요 기반 시설 대응팀과 긴밀한 작업을 진행 중이라는 점에서 익명을 요구했다. 이어, 그는 “인터넷에 매우 고통스러운 일이 발생했으며, 전 세계 어디서나 발생하는 문제이다. 말 그대로 전 세계 어디서나 로그4j 악용 피해를 겪을 수 있다”라고 말했다.

솔라윈즈 사태와 그 여파를 비롯한 대규모 사이버 공격 사건은 해커 세력이 보편적으로 사용하는 소프트웨어에 침입할 때의 피해 수준을 시사한다. 반면, 로그4j 문제는 단 하나의 결함이 상당수 소프트웨어에 설치된 기존 코드에 고정되었다면, 그 파장이 널리 퍼질 수 있다는 사실을 입증한다.

루타 시큐리티(Luta Security) 창립자이자 장기간 취약점 연구원으로 근무한 케이티 무주리스(Katie Moussouris)는 “이번 로그4j와 같은 라이브러리 문제는 특히 수정하기 어려운 심각한 공급망 문제를 일으킨다. 해당 라이브러리를 사용하는 모든 소프트웨어를 수정된 버전으로 테스트해야만 한다. 과거, 라이브러리 취약점 해결 협력 작업을 펼친 경험이 있어, 현재 로그4j 문제 수정 작업을 서둘러 배포하는 이들에게 동정심을 표한다”라고 말했다.

현재 최우선사항은 실제 문제가 얼마나 만연한지 알아내는 것이다. 안타깝게도 보안팀과 해커 세력 모두 피해 수준을 정확히 파악하는 데 시간이 걸릴 것이다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
‘The Internet Is on Fire’