진정되어 가는 듯 보였던 코로나19와의 전쟁은 오미크론이라는 변종에 의해 새로운 국면으로 접어들었다. 코로나 바이러스와 지난한 싸움을 펼치고 있는 현실세계와 마찬가지로, 디지털 세계에서도 사이버공격에 악용될 수 있는 CVE-2021-44228 취약점이 발견돼 전세계에 긴장감을 불러 일으키고 있다. 

로그4쉘(Log4shell), 혹은 로그잼(LogJam)이라고 불리는 CVE-2021-44228는 자바(JAVA) 기반의 로깅 유틸리티인 로그4j(Log4j)의 보안 취약점이다. 공교롭게도 오미크론이 처음으로 세계보건기구(WHO)에 보고됐던 11월24일 알리바바 클라우드 보안팀에 의해 발견돼 아파치소프트웨어재단에 보고됐다.

원격코드실행(RCE)이 가능해 사이버 공격자가 시스템 관리자 권한을 탈취돼 데이터 유출, 악성 프로그램 실행 등 다양한 피해를 입힐 수 있으며, 12월9일 인기 온라인 게임 마인크래프트가 취약점의 영향을 받을 수 있다는 사실이 알려지면서 위험성이 본격 부각됐다. 

로그4쉘이 공포스러운 점은 광범위한 활용 범위 때문이다. 아파치소프트웨어재단의 프로젝트 아파치 로깅 서비스의 일부인 로그4j는 최종 사용자 단계에서 제품의 문제나 정보를 식별하거나, 프로그램 개발 도중에 디버깅 로그를 남길 목적 등으로 수많은 응용 프로그램에서 사용됐다. 

대부분의 자바 웹프로그래밍 서버에서 라이브러리로 사용됐기에 마인크래프트는 물론 애플, 아마존, 트위터, 스팀, 링크드인 등도 취약점의 영향을 받을 수 있다고 경고되는 것이다. 

취약점을 악용하는 방법도 매우 간단해 위험성을 더욱 높인다. 예를 들어 마인크래프트에서 채팅창에 특정 메시지를 입력하면 원격으로 프로그램을 실행시킬 수 있다고 확인됐다.

더 큰 문제는 해결까지 많은 시간이 걸릴 것이라는 점이다. 로그4j가 간단한 사용법으로 수많은 애플리케이션에 포함된 라이브러리이기 때문에 취약점을 해결한 패치 적용에도 시간이 더 오래 걸릴 것으로 예상되는 것이다.

이와 관련 칸디드 뷔스트 아크로니스 부사장은 “로그4쉘 취약성은 지난 10년간 가장 심각한 5대 취약점 중 하나”라며 “수많은 애플리케이션에 포함된 라이브러리이기 때문에 패치 적용에도 시간이 더 오래 걸린다”고 경고했다.

아파치재단이 로그4j에 대한 패치를 발표하고, 취약점 완화 방안을 발표했지만, 이미 수많은 공격이 이뤄진 것으로 업계는 추정하고 있다.

포티넷은 취약점이 본격적으로 알려진 12월10일 이후 공격 시도가 급증했음을 보고했으며, 체크포인트 역시 47만건 이상의 로그4쉘 관련 공격 시도를 탐지했다고 알렸다. 

관련 취약점도 추가 보고되고 있다. 최초 발견된 CVE-2021-44228에 이어 로그4j에서 발생하는 서비스 거부 취약점인 CVE-2021-45046, 원격코드실행 취약점인 CVE-2021-4104도 추가된 것이다. 

이에 과학기술정보통신부는 주요 기반시설과 최고정보보호책임자(CISO), 정보보호관리체계(ISMS) 인증기업, 인터넷데이터센터(IDC) 등에 즉각적인 조치시행을 당부했으며, 한국인터넷진흥원(KISA)도 지속적으로 관련 정보를 업데이트하고 기업들에게 긴급조치를 권고했다.