역대급 ‘로그4j’ 취약점 노린 다크웹 기반 해커들의 움직임은?

정부부처·유관기관·보안기업, 보안 패치 및 취약점 점검 스캐너 배포 등 최선의 노력
랜섬웨어 해커조직 등 공격자들, 다크웹·트위터에 공격기법 공유하면서 전력 다해 공격
하루빨리 취약점 점검 및 보안 업데이트 마무리하고, 실시간 모니터링에 힘써야

[보안뉴스 권 준 기자] 이번 주말 전 세계는 역사상 최악의 취약점이 될 수도 있는 ‘로그4j 2’ 원격 코드 실행(RCE : Remote Code Execution) 취약점 일명 ‘로그4셀(Log4Shell)’ 공포에 휩싸였다. 전 세계 공공기관과 주요 기업은 취약점 패치를 위해 보안 업데이트에 적극 나섰고, 보안업계에서는 로그4셀 점검 스캐너를 무료로 배포하는 등 피해 최소화를 위한 대응에 최선의 노력을 다하고 있는 상황이다.

[이미지=utoimage]

우리나라에서도 국가정보원과 과기정통부, 한국인터넷진흥원(KISA), 그리고 금융보안원 등 유관부처와 기관들이 주요 공공기관과 기업을 대상으로 피해 현황 파악과 함께 취약점 점검 공지 및 보안 업데이트 지원을 진행 중이다. 또한, 아이오티큐브와 로그프레소 등을 비롯한 국내 보안기업에서는 로그4셀의 긴급 취약점 대응을 위한 스캐너를 무료 배포하는 등의 노력이 활발하게 진행되고 있다.

그러나 이러한 다각도의 노력에도 불구하고 이번 취약점을 악용한 해커들의 공격이 이미 상당수 진행됐다는 우려가 커지고 있다. 해당 취약점이 사이버 공격자들이 로그4j 2를 사용하고 있는 모든 애플리케이션에 임의의 코드를 실행할 수 있는 원격 코드 실행 취약점으로, 공격 타깃이 되는 서버나 PC의 모든 권한을 취득할 수 있기 때문이다. 비밀번호 입력 없이 서버를 통해 내부망에 접근해 데이터를 탈취하거나 랜섬웨어 등의 악성코드를 실행시켜 다양한 악성 행위를 수행할 수 있다. 특히, 해당 취약점을 악용해 공격을 감행하는데 있어 고도의 기술이 필요하지 않다는 점에서 더욱 위험하다는 지적이다.

실제로 취약한 애플리케이션에 대한 대규모 스캐닝 활동이 발견됐으며, 해당 취약점을 노린 공격 시도가 포착되기도 했다. 애초에 해당 취약점은 자바 언어로 개발된 인기 온라인 게임 ‘마인크래프트’에서 발견됐는데, 애플, 아마존, 스팀, 트위터, 구글, 테슬라 등 글로벌 IT 기업은 물론 기업과 정부부처 등 웹사이트를 운영하는 대다수가 로그4j를 사용하고 있어 해커들의 공격 타깃이 매우 광범위할 수 있다.

그럼 이번 취약점과 관련해서 해커들의 주요 활동무대가 되고 있는 다크웹에서의 움직임은 어떨까? 보안기업 NSHC의 다크웹 기반 인텔리전스 시스템 ‘다크트레이서(DarkTracer)’의 모니터링 결과에 따르면 현재 다크웹 및 딥웹에서 로그4j 취약점과 관련된 다양한 공격기법과 이슈들이 활발하게 공유되고 있는 것으로 드러났다.

▲다크웹에서의 로그4j 2 취약점 공격 관련 공유 현황[자료=NSHC]

특히, 다크웹을 주 무대로 활동하고 있는 랜섬웨어 해커조직들의 활발한 소통이 계속 포착되고 있는데, 우회 공격 및 웹방화벽(WAF) 우회 기술 등이 실시간 공유되고 있는 것으로 알려졌다.

다크웹과 함께 SNS인 트위터도 해커들의 공격기법이 공유되는 주요 통로가 되고 있다고 보안전문가는 지적했다. 보안프로젝트 조정원 대표는 “공격자들은 항상 IP 정리해놓고 대기했다가 트윗으로 공격 코드 1~2줄만 공개되더라도 금융권, 공공기관 등을 타깃으로 1시간 이내에 공격이 들어오는 경우가 많다”며, “아파치 스트러츠 취약점 사태 당시 기억을 떠올려보면 이번 취약점의 경우도 크게 다르지 않을 것이기에 보안담당자들이나 보안관제 서비스 업체들은 힘들더라도 밤샘 대응해야 하고, 통합 로그를 열심히 보고 있어야 한다”고 강조했다.

이에 따라 공공기관 및 기업들은 보안부서를 중심으로 자사가 보유 및 운영하고 있는 서버가 로그4j 취약점에 영향을 받는지 신속하게 체크해서 취약점 점검과 함께 보안 업데이트를 마무리한 후, 당분간은 지속적인 보안관제를 통해 공격 시도 여부를 실시간 모니터링 하는 게 무엇보다 중요할 것으로 보인다.
[권 준 기자(editor@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)