검색
LAW&스마트

Log4j 취약점

175444.jpg

보안매체에서 2021년을 괴롭힌 '사이버보안 사건·사고'를 각 월별로 정리했는데, 그 중 대한민국과 관련 있는 것에는 AI 챗봇 '이루다'의 서비스 중단(1월), 개인정보 대신 개인안심번호로 코로나19 수기명부 지침 개선(4월), 기상청의 이메일 해킹(5월), VPN 취약점 노린 연속 해킹의 서막 '한국원자력연구원·대우조선해양·한국항공우주산업' 해킹(6월), 콘티 랜섬웨어 해커조직의 한화생명 베트남 법인 공격(8월), 서울성모병원 구 홈페이지 해킹 등(9월), QR코드 이용한 악성메일 등장(10월), 한국 아파트 월패드 해킹(11월), Log4j 취약점, 제2의 워너크라이 사태 우려(12월)도 포함돼 있다. 12월의 Log4j 취약점 문제의 경우, 12월 10일 美 Foxnews가 위험척도 최고등급으로 해커가 정보시스템의 모든 정보에 접근할 수 있는 권한을 획득할 수 있는, 전세계적으로 역사상 가장 위험한 Log4j 보안취약점이라고 보도한 후 각국이 대응에 부심하고 있다. Log4j는 인터넷 사용 시 발생하는 정보를 저장하는 로깅 프로그램으로서, Log4j 취약점은 전세계 대다수 대기업과 정부기관에서 사용하는 Apache(아파치) 서버의 Log4j 2 중에 존재하는 JNDI인젝션 취약점이고 그에 영향받는 소프트웨어 종류가 방대하다.


개인정보 보호법 및 개인정보의 안전성 확보조치 기준에 따라 개인정보처리자는 악성프로그램 등을 방지·치료할 수 있는 보안 프로그램을 설치·운영해야 하며, 보안 프로그램을 최신의 상태로 유지하고, 악성프로그램 관련 경보가 발령되면 즉시 업데이트를 하며, 발견된 악성프로그램 등에 대해 삭제 등의 조치를 취해야 한다. 이에 따라 기업은 Log4j 취약점에 대응해야 하는데, 문제는 그 취약점이 빠르게 진화하는 반면, 기업은 어느 자산이 그와 연관되어 있는지 파악하는 것이 쉽지 않다는 것이다. 과기정통부의 '21년 사이버위협 분석 및 22년 전망분석' 역시 "Log4j 취약점 문제가 매우 광범위하고, 식별이 쉽지 않아 기업이 보안사고 문제를 해결하기 위해서는 상당 시간이 소요 될 것"으로 경고하고 있다. 기업은 Log4j 보안취약점을 통해 발생할 수 있는 보안위험에 대응해야 하고, 그 첫번째가 Log4j를 사용하는 정보자산을 식별하는 것이며, Log4j 보안취약점 스캐너가 이런 기능을 제공한다. 다음으로 정보시스템 가용성 등을 종합적으로 판단해서 보안 업데이트를 실시하고, 정보보호체계가 법률적, 기술적으로 적정한지 평가해야 한다. Log4j 문제도 슬기롭게 대처할 수 있길 바란다.


이근우 변호사 (법무법인 화우)

미국변호사

관련 법조인