극도로 치명적인 인터넷 보안 취약점 발견 [AP]

취약점 '로그4셸' 명명
비밀번호 없이 데이터 접근
"사실상 거의 모든 서버 위험"

인터넷에서 널리 쓰이는 소프트웨어에서 치명적인 보안 취약점이 발견됐다고 AP통신이 현지시간 10일 보도했습니다.

'로그4셸'로 이름 붙은 이 취약점은 오픈소스 로깅 라이브러리 'log4j'에서 발견됐습니다. 로깅은 서버나 프로그램의 유지, 관리를 위해 시스템의 동작 상태를 기록으로 남기는 것을 말합니다. 사실상 거의 모든 서버가 'log4j'를 사용하는 것으로 알려졌습니다.

로그4셸을 공격하면 해커들은 목표 컴퓨터의 모든 권한을 취득할 수 있습니다. 비밀번호 없이도 서버 내부망의 데이터에 접근하거나 악성 프로그램을 설치할 수 있는 것입니다. 이 취약점은 인기 온라인 게임 마인크래프트에서 처음 발견됐습니다. 마인크래프트를 보유한 마이크로소프트는 업데이트를 적용한 고객들은 보호받을 수 있다고 공지했습니다.

AP통신은 로그4셸이 최근 몇 년간 발견된 가장 최악의 컴퓨터 취약점일 수 있으며, 문제가 해결되지 않으면 해킹 범죄에 계속 노출될 수 있다고 전했습니다. 오픈소스 프로젝트를 지원하는 비영리 단체인 아파치소프트웨어재단은 로그4셸 취약점의 보안 위협 수준을 1∼10단계 중 최고 단계인 10단계로 평가했습니다.

사이버 보안 업체 크라우드스트라이크의 애덤 메이어스 수석부사장은 "인터넷이 불타고 있다"면서 "사람들이 프로그램 수정을 위해 야단법석이다"라고 밝혔습니다. 이미 취약점을 악용한 도구가 개발돼 "완전 무기화됐다"고 덧붙였습니다. 전문가들은 사실상 이미 모든 서버가 위험한 상태라고 경고했습니다.

애플과 아마존, 트위터 등 거대 IT기업들도 'log4j'를 사용하고 있습니다.

[신동규 기자 easternk@mbn.co.kr]