2021년, 러시아가 우크라이나 국경 지대에 군대를 모으고, 코로나19 오미크론 변이바이러스가 전 세계를 강타하기 시작했을 때 아파치 소프트웨어 재단(Apache Software Foundation)이 전 세계 테크 업계에 심각한 피해를 일으키기 시작할 취약점을 발견한 사실을 공개했다. 로그4셸(Log4Shell)이라는 이름으로 알려진 취약점은 보편적인 오픈소스 로깅 라이브러리인 Log4j에서 발견돼, 인기 소비자 및 기업용 플랫폼부터 주요 기반 시설과 사물인터넷(IoT) 기기까지 다양한 애플리케이션과 소프트웨어에 노출됐다. 2021년 12월, 몇 주간 버그 수정 노력에 집중하고 1년간 패치 작업을 서서히 추진한 뒤 로그4셸은 처음과 같은 전반적인 위협 요소가 되지 않는다. 그러나 연구팀은 로그4셸의 취약점이 여전히 전 세계 수많은 시스템에 널리 존재하며, 해커 세력이 이를 다년간 악용해왔다고 경고했다.
매년 해결이 시급할 만큼 중요한 취약점이 여러 가지 등장한다. 그러나 로그4셸은 존재하는 곳 어디서나 별다른 경고 사항이 거의 없는 상태에서 교묘하게 해커 세력이 악용할 수 있다는 점에서 특이하다. 개발자는 로깅 유틸리티를 이용해 주어진 애플리케이션에서 기록을 운영한다. 로그4셸을 악용하는 해커 세력은 시스템을 이용해 특수 코드 배열을 기록한다. 이때부터 해커 세력은 피해자 시스템을 제어하고는 멀웨어를 설치하거나 다른 디지털 공격을 악화할 수 있다. 로거는 기록이 남게 되며, 악성 스니펫 도입은 계정 사용자 이름을 포함하거나 이메일을 전송하는 것만큼 쉽다.
아파치 소프트웨어 재단 사장 데이비드 낼리(David Nalley)는 “로깅은 모든 컴퓨터 소프트웨어나 하드웨어 작동 시 기본적으로 필요하다”라며, “Log4j가 널리 배포되어 다운로드 횟수가 많다는 사실을 파악했다. 그러나 오픈소스에서는 제품 판매 후 계약 추적이 이루어지지 않으므로 Log4j 확산 범위를 정확하게 파악하기 어렵다. 소프트웨어 공급사 정보와 소프트웨어로 처리하는 일, 사용자 등을 완벽히 기록하기 전까지는 완전히 이해하기 어려울 것이다. Log4j가 놀라울 정도로 어디에나 흔히 존재하는 이유는 모두가 오픈소스를 즉시 활용할 수 있기 때문이라고 생각한다. 사실, 많은 이들이 생각하는 것처럼 중요한 요소가 아니다”라고 말했다.
상황은 소프트웨어 공급망과 관련한 폭넓은 논의와 많은 기관이 시스템에 사용하는 모든 소프트웨어에 적절한 책임을 지지 않는다는 사실 때문에 상황은 취약점이 있는 코드를 확인하고는 패치 작업을 진행하기 어렵다. 그러나 부분적인 문제는 한 조직에서 구매하거나 구축한 소프트웨어 목록을 모두 보관했더라도 특히 오픈소스 라이브러리와 Log4j와 같은 유틸리티를 중심으로 최종 사용자가 특별히 인지하지 못하고 의도적으로 선택하지 않는 다른 소프트웨어 구성요소를 포함할 수 있다. 결국, 로그4셸과 같은 취약점이 확산되는 효과는 물론이고, 기관이 취약점 노출 사실을 인지하지 못하거나 업그레이드 투자가 시급하다는 점을 인식하지 못한 채로 오랫동안 패치 작업을 진행한다.
반면, 피해자 시스템을 공격하려는 사이버 범죄 조직부터 중국과 이란의 국가 주도 세력까지 해커 세력은 지금도 어디서나 로그4셸을 활발하게 악용한다.
[사진=Freepik]
소프트웨어 공급망 보안 기업 체인가드(Chainguard) CEO 댄 로렌스(Dan Lorenc)는 “로그4셸은 앞으로 10년간 데이터 보안 침입 사례에서 근본적 보안 취약점의 일부분으로 드러날 것이다. 로그4셸의 한 가지 요소가 취약해지기만 하면 즉시 문제가 드러날 것이다. 다행히도 지난해 큰 피해를 겪은 고객은 거의 없다. 로그4셸의 보안 문제가 심각해, 로그4셸이 발견된 주말과 연말 내내 해커 세력과 로그4셸의 보안 취약점 퇴치 노력을 펼친다. 그러나 경제적 영향이 크다. 로그4셸의 취약점을 해결하려면 막대한 노력의 비용이 필요하다. 또, 조금 덜 심각한 문제로 혼란스럽게 할 수는 없다”라고 말했다.
아파치 소프트웨어 재단은 2021년 12월 9일(현지 시각), 로그4셸의 전체 상태를 자세히 공개한 뒤 서둘러 로그4셸 패치 준비를 시작했다. 결과적으로 연구팀은 여러 가지 반복 지점을 찾아, 혼란이 가중되었다.
오픈소스 보안 연구원 조너선 레이처(Jonathan Leitschuh)는 “로그4셸은 말 그대로 모든 곳에 존재한다. 해커 세력은 로그4셸이 발견된 곳으로 즉시 향하고, 보안 전문가 집단도 주목한다. 로그4셸의 보안 문제는 어디에든 확산된다”라고 말했다.
그러나 연구팀은 아파치 소프트웨어 재단이 전반적으로 철저하게 대응했다고 평가한다. 낼리 사장은 아파치 소프트웨어 재단이 로그4셸 사태에 대응하여 변화를 선보이면서 보안 문제를 개선했다고 평가한다. 또, 전문 인력을 채용해, 코드를 다른 곳에도 전송하기 전 버그를 찾도록 오픈소스 프로젝트에 제공할 수 있는 보안 지원 범위를 확장하고는 문제 발생 시 즉각 대응하도록 한 점에도 주목했다.
낼리 사장은 “2주라는 짧은 시간에 해결책을 찾아내고는 수정했다는 점이 훌륭하다. 아파치 소프트웨어 재단에는 새로운 일이 아니며, 개인적으로 아파치 소프트웨어 재단이 로그4셸 취약점을 완벽하게 다루었다고 생각한다. 그러나 현실적으로 아파치 소프트웨어 재단 내부에서도 아파치 소프트웨어 재단을 통해 소프트웨어를 사용하는 이들에게 책임이 있다는 사실을 나타낸다”라고 설명했다.
더 나아가 로그4셸 사태 후 1년이 지난 시점에도 더 우려스러운 측면은 아파치 소프트웨어 재단의 저장소인 메이븐 센트럴(Maven Central)을 포함한 여러 저장소에서 다운로드한 Log4j 중 약 1/4 이상은 보안이 취약하다는 사실이다. 다시 말해, 소프트웨어 개발자는 지금도 취약한 유틸리티를 운영하는 시스템을 활발하게 유지하거나 취약점을 지닌 새로운 소프트웨어를 구축한다.
메이븐 센트럴을 운영하며, 아파치 소프트웨어 재단의 외부 공급 기업이기도 한 소프트웨어 공급망 기업 소나타입(Sonatype) 공동 창립자 겸 최고 기술 관리자 브라이언 폭스(Brian Fox)는 “대부분 취약한 오픈소스 소프트웨어 구성요소를 선택할 때, 이미 사용 가능한 수정 사항이 있는 것이 현실이다. 오랫동안 오픈소스 소프트웨어 보안을 다루면서 더는 열정이 없지만, 충격적이었다. 유일하게 설명할 수 있는 점은 많은 이들이 사용 중인 소프트웨어의 내부 문제를 이해하지 못한다는 사실이다”라고 말했다.
폭스는 로그4셸 보안 문제 해결에 서둘러 나선 뒤 메이븐 센트럴과 여러 저장소에서 내려받을 수 있는 요소의 문제점 중 60%는 패치가 적용됐으며, 40%는 여전히 보안이 취약한 버전이라고 말한다. 그러나 지난 3개월간 폭스와 낼리 사장 모두 패치 작업이 된 요소의 비율은 75%, 보안이 취약한 버전의 비율은 25%임을 확인했다. 폭스가 언급한 바와 같이 전체 라이브러리 요소 중 1/4이 취약하다는 점은 끔찍하다.
폭스는 “일각에서는 Log4j가 오픈소스 업계에 경각심을 제기하며, 집단의 큰 각성과 인식을 제기하는 계기가 되었을 것이라고 생각한다. 그리고 더는 소프트웨어 공급망 보안 보안과 관련된 메시지를 부정하기 어려워, 보안 개선 노력을 넓히는 데 도움이 되었다. 공급망 소프트웨어 보안 문제는 현실이었으며, 지금도 존재하는 문제이다. 그러나 Log4j에 대한 집단의 압력만으로 모두가 소프트웨어를 업그레이드하도록 하지 못했다면, 보안이 취약한 다른 소프트웨어는 어떻게 해야 할까?”라고 말했다.
보안 연구원은 항상 오래 이어지는 취약점을 다룰 방법을 둘러싼 의문점을 항상 다룬다. 문제는 오픈소스 소프트웨어뿐만 아니라 독점 시스템에도 마찬가지로 존재한다. 윈도 사용자 10%가 윈도 XP 대신 다른 운영체제를 사용하도록 한 것을 생각해보면 알 수 있는 문제이다.
로렌스는 “오픈소스의 예상치 못한 문제점과 같은 최악의 상황에서는 보안 취약점이 계속 발생할 것을 알 수 있다. 보안 업계의 대응 수준이 훨씬 더 나아졌으나 오픈소스 개발 속도는 그보다 더 빠르기 때문이다. 따라서 취약점 발생 예방과 피해 완화 간의 균형 유지 방법을 찾고, 취약점 발생 빈도를 가능한 줄일 수 있도록 노력해야 한다. 심슨 가족의 바트가 ‘내 인생의 최악의 날’이라고 말하고, 호머가 ‘네 인생의 최악의 날은 아직 멀었다’라고 말하는 밈과 같은 상황이라고 말할 수 있다”라고 전했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202212/4414_5816_4743.jpg)
뉴스레터 신청