연말, 연초의 들뜬 분위기 속에서도 서버실에서는 신음 소리가 새어나오는가? AWS가 정상적으로 동작하는 데도 불구하고 IT 직원의 눈은 퀭한 상태인가? 시스템 관리자와 개발자들이 휴게실 한편에서 쪽잠을 자고 있는가?
그런 일이 왜 일어나고 있는지 설명해보겠다. 바로 지금, 수많은 IT 직원이 ‘Log4j2itis’로 인해 고통받고 있다.
지난 몇 주에 걸쳐 이와 관련된 여러 뉴스를 보았을 것이다. IT 분야를 전문적으로 다루지 않는 미디어들조차도 이에 대한 소식을 전하곤 했다. 이 문제의 심각성은 사이버 보안 및 인프라스트럭치 보안국(CISA)의 젠 이스털리의 발언에서 잘 드러난다. “Log4j 취약점은 내가 수십 년 동안 본 것 중 가장 심각하다”라고 그는 말했다.
필자의 의견도 다르지 않다. “Log4Shell은 우리 세대의 최악의 IT 보안 문제라고 과장을 보태지 않고 말할 수 있다.”
이 파멸적으로 들리는 문제에 대해 눈높이를 낮춰 설명하면 다음과 같다.
아파치 Log4j2는 매우 인기 있는 오픈소스 자바 로깅 라이브러리다. 자바 프로그램이 무언가를 기록한다면, 즉 사용자 이름에서부터 다른 프로그램을 호출한 횟수 등을 기록한다면 Log4J2를 사용할 가능성이 아주 높다.
이는 잘 작동했으며, 모두 행복했다. 그러다가 몇 주 전 보안 연구진이 문제를 발견하기 전까지는 그랬다. 심각성을 나타내는 지표인 CVSS(Common Vulnerability Scoring System) 심각성 점수가 10점 만점에 10점에 해당하는 문제가 등장한 것이다.
취약한 버전의 Logj42가 포함된 경우 원격 코드 실행 결함 공격에 노출될 수 있다. 공격에 성공하면 서버에서 둠(Doom) 게임을 플레이하는 것부터 네트워크에 연결된 모든 상자를 미라이 봇넷으로 감염시키는 것, 랜섬웨어를 구동하는 것까지 가능해진다.
이미 국가 차원들의 해커들이 Log4j 취약점을 사용하고 있다. 지난주 공격을 받아 곤욕을 치른 벨기에 국방부가 산 증인이다.
Logj42의 인기를 좀더 자세히 설명해본다. 이 프로그램은 널리 사용되는 수천 개의 상용 애플리케이션 및 서비스에 포함돼 있다. 심지어 애플 아이클라우드에도 포함돼 있다. 수많은 시스코 프로그램, 마인크래프트 클라이언트, 서버, 스팀, 트위터, 각종 VM웨어 프로그램 역시 예외가 아니다.
특히 기업 입장에서 남 일이 아니다. 내부 직원이나 ISV(독립 소프트웨어 공급업체)가 아파치 드루이드, 더보, 플링크, 플럼, 하둡, 카프카, 솔라, 스파크, 스트럿츠 등을 이용해 프로그램을 작성했거나 하고 있다면 문제가 된다.
좋은 소식은 Log4j2 취약점에 대한 해법이 있다는 점이다. 총 3가지다. 먼저 이 문제가 있는 소프트웨어 라이브러리의 모든 복사본을 log4j 2.17.0으로 업데이트하면 문제가 해결될 수 있다.
하지만 결코 쉽지 않다. 하나하나를 모두 업데이트해야 하기 때문이다. 더욱이 Log4j는 수백 만 개의 프로그램에 숨겨져 있다. 애석하게도 Log4j가 포함된 프로그램 목록을 모두 보유한 기업은 없다. Logj42가 처음 출시된 7년 전은 아무도 SBOM(software bill of materials)을 만들지 않던 시절이기 때문이다.
그래서 일일이 찾아야 한다. 그리고 자바 프로그램은 코드를 자바 아카이브 파일(JAR)과 같은 러시아어 중첩 인형 구조에 숨기리 때문에 더욱 문제가 된다. 패치가 필요한 프로그램을 찾기가 정말이지 어려워지는 것이다. CISA CVE-2021-44228_스캐너와 같은 도구를 사용하면 도움이 되지만 그래도 방대한 작업을 필요로 한다.
비유를 들면 이렇다. 누군가가 2014년 이후 모든 문서에서 특정 내용을 찾도록 요구한 상황이다. 그런데, 텍스트 검색 도구를 이용하지 못한다. 그리고 이를 제대로 찾지 못하면 회사의 IT 인프라가 무너질 수도 있는 경우다.
그렇다 악몽이다. 퀭한 눈빛의 IT 직원들에게 친절해야 할 이유이기도 하다. 그들은 새해의 샴페인을 즐기는 대신 여전히 이 난장판을 청소하느라 지쳐 있을 가능성이 높다. 이 사태는 빨리 끝나지 않을 것이며, 관련 공격이 당분간 이어질 것이다.
* Steven J. Vaughan-Nichols는 CP/M-80이 첨단 PC 운영체제였고 300bps 모뎀이 고속 인터넷 연결 수단이었던 시절부터 기술 분야에 대한 글을 써왔다. dl-ciokorea@foundryco.com
