오픈소스 아파치 로깅 라이브러리 ‘로그4j(Log4j)’의 취약점이 발견돼, 지난 한 주간 전 세계 시스템 관리자와 보안 전문가가 서둘러 문제 수정에 나섰다. 로그4쉘(Log4Shell)이라는 이름으로 알려진 보안 결함은 세계 최대 인기 애플리케이션과 서비스 모두 사이버 보안 공격에 노출되도록 만들었다. 12월 9일(현지 시각), 최초 발견 후 보안 수정 수준은 향상되지 않았다. 오히려 매우 당황스러울 정도로 로그4쉘이 앞으로 수년간 인터넷 전 영역에 치명적인 피해를 일으킬 것이라는 점이 확실해졌다.
시스코(Cisco)와 클라우드플레어(Cloudflare) 보안 연구팀은 해커 세력은 2021년 12월 초부터 로그4쉘을 악용해왔다고 설명했다. 그러나 12월 9일 자로 아파치 로깅 라이브러리 취약점 공개 후 결함 악용 사례가 급격히 증가했다. 마이크로소프트가 밝힌 바에 따르면, 지금까지 해커 세력은 결함을 악용해 암호화폐 채굴업자가 취약한 시스템을 설치하고 시스템 기밀 정보를 탈취하면서 보안 공격을 당한 네트워크 안에 깊이 심어 두고는 데이터를 탈취했다.
취약성 때문에 로그4쉘 피해 범위는 매우 넓다. 다수 개발자가 로깅 프레임워크를 이용해 주어진 애플리케이션의 활동 추적 상태를 유지한다. 해커가 로그4쉘을 악용하고자 할 때 유일하게 필요한 요소는 전략적으로 제작된 일련의 코드를 기록한 시스템 확보이다. 이 과정에서부터 해커는 공격 표적이 된 서버에 임의 코드를 게재하고는 멀웨어를 설치하거나 다른 공격을 개시한다. 주목할 만한 점은 해커는 이메일에 일련의 코드를 숨긴 채로 전송하거나 멀웨어를 계정 사용자 이름으로 설정하는 등 악의적이지 않은 것처럼 보이는 방식으로 정보를 삽입할 수 있다.
[사진=Freepik]
아마존 웹 서비스(AWS), 마이크로소프트, 시스코, 구글 클라우드, IBM 등 상당수 주요 테크 기업은 이미 자사 일부 서비스가 취약한 상태라는 사실을 확인하고는 서둘러 결함 수정 작업을 마치고 고객에게 로그4쉘 위협을 막을 최선책을 조언했다. 그러나 로그4쉘의 정확한 피해 규모는 여전히 지켜봐야 한다. 세심한 보안 관리를 하지 않는 기관이나 보안 수정 자원 및 인식이 부족한 소규모 개발사는 대기업보다 로그4쉘 위협 대응 속도가 더 느리다.
크리스 프로호프(Chris Frohoff)는 “지금 거의 확실한 부분이 있다면, 앞으로 수년간 새로운 악용 수단을 고려하면서 소규모로 판매된 신규 소프트웨어에서 로그4쉘의 심각한 피해를 발견하게 될 것이라는 점이다. 장기적으로 커스텀 엔터프라이스 앱 평가와 마비 테스트를 거치면서 로그4쉘의 치명적인 피해를 발견하게 될 수도 있다”라고 말했다.
미국 사이버 보안 인프라 안보국(CISA) 젠 이스털리(Jen Easterly) 국장은 12월 11일(현지 시각) 발표한 공식 성명을 통해 이미 갈수록 세력을 확장하는 사이버 공격 세력이 로그4쉘 취약점을 악용했다”라고 경고했다. 12월 13일(현지 시각), 사이버스쿱의 최초 보도에 따르면, 주요 기반 시설 운영사와의 통화 당시 이스털리 국장은 로그4쉘이 “사이버 보안 업무 경력 전체를 통틀어 보았을 때, 가장 심각한 수준은 아니더라도 매우 심각한 취약점 중 하나이다”라고 강조했다. 통화 당시 또 다른 CISA 관료는 기기 수십만 대가 로그4j 감염 피해를 보았다고 추산했다.
로그4쉘 퇴치의 어려운 점은 모든 피해 발생 영역 추적이다. 많은 기관이 자체 시스템 내 사용 중인 프로그램과 소프트웨어 구성 요소를 확실하게 관리하지 않는다. 12월 13일(현지 시각), 영국 국가 사이버 보안 센터(National Cyber Security Centre)는 기업체가 알려지지 않은 로그4j 피해 발생 순간을 발견하고는 특히 의심스러운 부분에는 패치 작업을 진행해야 한다고 강조했다. 본질적으로 오픈소스 소프트웨어는 개발자가 필요한 곳 어디에나 포함할 수 있다. 즉, 주요 취약점이 등장할 때마다 노출된 코드가 어디에나 내재할 수 있다는 의미이다. 로그4쉘 발견 전에도 공급망 보안 옹호 세력이 갈수록 SBOMs(software bills of materials)를 추진해 보안 보호막을 손쉽게 쌓고 유지하도록 하고자 했다.
많은 보안 전문가가 로그4j의 타격이 오래 이어질 수밖에 없다는 사실의 중요성을 인지하는 동시에 가장 먼저 로그4쉘 악용이 기승을 부리는 만큼 최대한 공격 피해 영역을 최소화할 대응이 필요하다는 점에 주목했다.
과거, 미국 국가안전보장국(NSA) 소속 해커로 활동한 경력이 있는 사이버 보안 사건 대응 전문가 제이크 윌리엄스(Jake Williams)는 “인터넷에 직면한 로그4쉘 취약점이 있으나 패치 작업이 이루어지지 않았다면, 십중팔구 사용자 본인의 부주의 책임이다. 해커 세력은 재빨리 로그4쉘을 조작했다”라고 말했다.
이어, 윌리엄스는 로깅 시스템이 중요하며, 재빠른 수정 작업 구축이 위험할 수 있으나 엄밀히 말하자면, 대다수 기업이 취할 만한 가치 있는 조치라고 덧붙였다. 윌리엄스는 “방어 측면에서 많은 기업이 테스트하지 않고 패치 작업을 진행하는 것을 우려한다. 그러나 로그4쉘 공격 위험성 예방에 패치 작업을 우려하는 것은 올바른 접근 방식이 아니다”라고 언급했다.
여전히 상황이 더 심각해질 수 있다는 우려가 남아있다. 해커 세력이 로그4쉘을 악용한 웜을 개발해, 앞으로 보안 수준이 취약한 기기에 자동으로 유포할 수 있기 때문이다. 사실상 가능한 일이다. 그러나 2017년, 악명 높은 워너크라이(WannaCry) 웜 차단 방법을 발견한 보안 연구원 마르쿠스 허친스(Marcus Hutchins)는 로그4쉘 기반 웜 개발 및 유포 작전이 해커의 최우선순위는 아니라고 말한다.
허친스는 “얼마든지 해커 세력이 웜 개발에 로그4쉘을 악용할 위험성이 존재하나 널리 알려진 취약점을 이용한 웜은 드물다. 널리 알려진 공격 효과보다 웜 개발 과정이 까다롭기 때문이다. 단순히 서버에서 악용 시도를 확산한 뒤 자체 확산 코드를 개발하는 것이 훨씬 더 쉽다. 보통 패치 작업 진행이나 다른 해커 세력의 취약점 악용 전 최대한 많은 시스템 악용 경쟁이 펼쳐진다. 따라서 해커 세력이 시간을 들여 로그4쉘을 악용한 웜을 별도로 개발할 것이라는 주장은 타당하지 않다”라고 분석했다.
지금도 해커 세력은 그 누구도 예측하지 못한 새로운 방식을 찾아 최대한 많은 취약 시스템을 발견하고 사이버 공격에 악용하려 한다. 그러나 로그4쉘의 가장 우려스러운 부분은 위험에 처한 시스템 수도 정확히 파악하지 못했다는 사실이다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202112/3600_4713_220.jpg)
뉴스레터 신청