최악의 인터넷 보안구멍 ‘로그4j’…국내 금융사도 공격 있었다

김철웅 금융보안원장 긴급점검 회의 개최
긴급상황 전파하고 취약점 탐지 룰도 배포
금융사 표적으로 한 대형 공격은 아닌 듯
국내 보안 기업들도 발 빠르게 대처 나서

[아시아경제 강나훔 기자, 송승섭 기자]국내 금융사들이 컴퓨터 역사상 최악의 보안구멍으로 꼽히는 ‘로그4제이(Log4j)’ 오류를 이용한 공격에 노출된 것으로 파악됐다. 탐색전 차원으로 위험도가 낮고 피해도 없었지만, 뚫리면 기업과 소비자 피해가 큰 만큼 각별한 주의가 필요하다는 지적이다.

13일 금융권에 따르면 금융보안원은 전일 김철웅 원장 주재로 긴급점검 회의를 개최했다. 국내 금융사 서버를 대상으로 한 Log4j 관련 공격이 탐지돼서다. 해킹성공이나 피해사례 발생 등 우려스러운 상황은 아직 없는 것으로 확인됐다. 공격규모와 빈도는 구체적으로 알려지지 않았다.

금보원은 이날 회의에서 금융권에 미치는 영향을 분석하고 대응상황을 점검하고 각 금융사에 긴급상황 전파조치를 취했다. 취약점을 탐지하는 룰도 개발해 신속·배포했다.

Log4j는 인터넷에서 ‘로그’를 남기기 위해 사용하는 프로그램이다. 로그란 컴퓨터를 사용하며 생기는 정보인데, Log4j는 로그를 저장해주는 역할을 한다. 아파치재단이 개발한 것으로 서버관리에 필수적이다. 무료로 제공되는 오픈소스여서 애플과 아마존 같은 세계 주요 기업과 정부기관이 쓰고 있다.

Log4j가 논란이 된 건 최근 ‘마인크래프트’라는 게임에서 해커가 침투할 수 있는 구멍이 발견돼서다. 해당 게임은 Log4j 프로그램을 쓰는데 특정 메시지를 입력하기만 해도 사용자의 컴퓨터를 원격조종할 수 있는 현상이 관찰됐다. 이를 이용하면 정부기관과 기업, 금융사를 공격해 악성코드를 심는 등 막대한 피해를 유발할 수 있다.

금융사 표적공격은 아냐…발 빠르게 움직이는 보안기업들

현재 국내 금융사 중 Log4j를 쓰는 곳이 얼마나 되는 지는 확인되지 않았다. 통상 금융업계는 보안을 이유로 무료 오픈소스를 쓰지 않는다. 하지만 국내에서는 일부 금융기관이 오픈소스를 사용하고 있어 Log4j가 적용됐을 가능성도 있다. 적용 여부는 실무를 담당하는 일부 개발자만 알고 있어 정확한 현황파악이 어려운 상태다.

다만 이번 공격이 특정 금융사 서버를 표적으로 삼았다고 보기 어렵다는 게 금보원의 설명이다. 취약한 기관을 찾기 위해 해커들이 여러 서버를 공격해보던 중 금융사에 같은 공격이 들어왔을 가능성이 크다는 것. 금보원 관계자는 "Log4j에 약한 서버리스트가 해킹사이트에서 공유되고 있다"며 "(국내 금융사의 경우) 탐지는 되고 있지만 아직 취약점이 거의 안 나오는 상황"이라고 설명했다.

한편 금융사를 비롯해 국내 IT기업에 대한 해킹 우려가 커지자 국내 보안 기업들도 발빠르게 움직이고 있다. 알약(ALYac) 개발사 이스트시큐리티는 이미 취약점이 보고된 지난 10일부터 블로그에 관련 내용을 공지한 상태다. 이스트시큐리티 관계자는 "취약점으로 알려진 악성파일들에 대해 알약 제품에서 탐지 및 치료가 가능한 상태"라고 말했다.

AI 보안 기업 로그프레소는 Log4j 2 취약점 대응을 위한 스캐너를 깃허브에 긴급 배포했다. 로그프레소 관계자는 "현재 한국인터넷진흥원의 보안권고문에서 제시한 ‘JndiLookup.class’ 제거를 통한 임시 패치까지 적용할 수 있다"고 설명했다.

정보 보안 기업 안랩도 Log4j 2 취약점 주의 및 업데이트 권고 내용을 자사 블로그에 게시하면서 주의를 당부했다. 현재 안랩의 TG/IPX, AIPS, HIPS 제품을 통해 취약점 탐지가 가능하다.

강나훔 기자 nahum@asiae.co.kr
송승섭 기자 tmdtjq8506@asiae.co.kr