​이란·중국 해커, 로그4셸 악용했다...국내에서도 사용현황 실태파악 나서

2021-12-15 14:13
사이버보안 기업 맨디언트, 이란과 중국에서 로그4j 취약점 활용 정황 발견
국내에서도 국정원·과기정통부 중심으로 로그4j 사용현황 등 실태파악 진행

[사진=게티이미지뱅크]

로그4j 2 취약점(일명 로그4셸)으로 인한 사이버공격 위협이 현실로 다가오고 있다. 보안기업 맨디언트는 중국과 이란을 배후에 둔 국가 해킹조직이 해당 취약점을 악용하고 있다고 현지시각으로 지난 14일 오후 밝혔다. 구체적인 공격 대상은 밝히지 않았다.

존 헐트퀴스트 맨디언트 수석 부사장은 "중국과 이란 공격자들이 해당 취약점을 이용하고 있으며 다른 국가의 공격자 역시 이 취약점을 이용하고 있거나, 이용할 준비를 하고 있을 것으로 예상된다. 이후 필요한 네트워크에 발판을 만들기 위해 빠르게 움직이며 후속 공격을 위한 준비 작업을 할 것으로 예측된다"고 말했다.

특히 "이 취약점이 공개되기 훨씬 전부터 표적으로 노려온 조직을 대상으로 한 공격이 진행될 것으로 보인다. 맨디언트가 해당 취약점과 관련해 식별한 이란 공격자들은 특히 공격적으로, 금전적 이득보다는 조직 붕괴가 목적인 랜섬웨어 공격에 주로 참여해왔다. 또한 보다 전통적인 사이버 스파이 행위와도 연관있다"고 말했다.

중국 보안기업 치후360의 연구조직 넷랩360 역시 10여개의 로그4셸 변종을 발견했으며, 세계 곳곳에서 운영하고 있는 허니팟(해킹 활동을 기록하기 위해 설치한 함정)에서 이를 악용한 공격이 탐지됐다고 밝혔다. 공격에 사용된 IP를 분석한 결과 발원지는 독일이 271건으로 가장 많았으며, 그 뒤를 네덜란드, 중국, 미국 등이다.

이처럼 실제 공격사례가 발생하고 있는 가운데, 국내에서도 과기정통부가 로그4j 사용여부와 조치현황 등 실태파악에 나섰다. 하지만 완전한 파악에는 시간이 걸릴 것으로 보인다. 이번 취약점이 발견된 소프트웨어는 거의 모든 인터넷 서버에 사용되는 오픈소스다. 인터넷을 기반으로 수많은 서비스를 제공하는 대기업은 점검해야 할 로그4j가 그만큼 늘어나는 셈이다.

특히 패치를 위해서는 서비스를 일시 중단해야 하기 때문에 완벽한 보안조치 역시 당분간은 힘들 전망이다. 이에 따라 기업은 패치 전까지 보안관제를 강화하고 방화벽 설정 등으로 대응해야 한다.

현업 보안 담당자는 "24시간 서비스를 제공하는 온라인 서비스라도 새벽 등 소비자가 많이 몰리지 않는 시간을 이용해 패치를 진행할 수 있다. 문제는 생산에 직접적으로 영향을 주는 시스템이다. 패치를 위해 서비스를 일시적으로 멈추면 생산이 중단되기 때문"이라며, "이 경우 내부적으로 업데이트 준비를 모두 마치고, 생산시설이 가동을 중단하는 시간에 일괄적으로 업데이트를 진행해야 한다. 또한, 업데이트를 준비하는 기간에는 보안사고에 대비해 관제 영역에서 공격패턴을 감지하고 차단해야 한다"고 설명했다.

국가정보원은 "현재 국내 국가기관과 공공기관 대상으로 이란이나 중국 등 국가배후 해킹조직의 악용 사례는 발견되지 않았다. 국정원은 해외에서 발생한 로그4j 취약점 활용 사례를 인지하고 있으며, 관련 피해 예방을 위해 유관기관과 적극 협력하고 있다"고 말했다.