로그4셸, 잔치는 끝났다. 너무나 널리 사용되는 요소에서 발견된 이 취약점 때문에 세상의 거의 모든 조직들이 공격에 노출된 상황이다. 때문에 외부 시스템만이 아니라 내부 시스템까지도 위험한 상황이며, 서드파티까지도 점검해야만 한다. 장기전이 시작된다.

[보안뉴스 문가용 기자] 역대 최악의 취약점이라고 불리는 로그4셸(Log4Shell)이 예상했던 것처럼 큰 피해를 전방위적으로 일으킬 가능성이 점점 높아지고 있다. 보안 업체 체크포인트(Check Point)는 이미 12월 9일부터 지금까지 84만회가 넘는 스캔 행위를 차단했다고 할 정도다. 특히 지역을 가리지 않고 대기업들의 네트워크에서 이러한 시도가 빈번하게 나타나고 있다고 한다.

​

[이미지 = utoimage]

체크포인트에 따르면 이 취약점을 익스플로잇 하려는 시도가 얼마나 활발한지 1분에 최대 100회가 넘는 악성 행위 시도가 발견되고 있다고도 한다. 이중 절반에 가까운 46%는 이미 알려진 해킹 그룹의 행위라고 한다. 게다가 깃허브에 최초로 공개되었던 익스플로잇 코드의 새로운 변종들도 무시무시한 속도로 나오고 있는 상황이다. 지난 24시간에만 60개가 넘는 변종이 인터넷에 풀렸다고 한다. 즉 로그4셸을 익스플로잇 하는 방법이 수없이 개발되었다는 것이다.

또 다른 보안 업체 소포스(Sophos)도 비슷한 내용의 조사 결과를 발표했다. 이미 수십만 번의 공격 시도를 발견했다는 것이다. 취약점 스캔부터 익스플로잇 실험, 암호화폐 채굴 멀웨어 설치 등이 여기에 해당된다. 또한 클라우드부터 암호화 키 및 기타 여러 민감 정보를 추출하려는 시도 등도 적잖이 이뤄지고 있다고 한다. AWS와 같은 주요 클라우드 플랫폼들도 공격자들의 손아귀를 벗어나지 못하고 있다.

시스코의 탈로스(Talos) 팀의 경우 로그4셸 취약점 익스플로잇이 가장 먼저 탐지된 건 12월 2일이라고 발표하기도 했다. 대대적으로 공개된 12월 9일보다 1주일 정도 빠른 것으로 “해커들은 이미 알고 있었던 취약점”이라는 걸 입증한다. 심지어 이것보다 더 오래되었다는(9일) 주장도 나왔다. 로그4셸을 미리 알고 익스플로잇 했던 공격자들은 대부분 암호화폐를 채굴하거나 봇넷을 운영하는 것을 목적으로 한 것으로 여태까지는 조사되고 있다.

“사이버 공격자들 중 봇넷 운영자들과 암호화폐 채굴자들이 가장 빠르게 움직이는 건 거의 늘 있는 일이긴 합니다.” 탈로스의 수석 위협 전문가인 비토 벤투라(Vitor Ventura)의 설명이다. “지난 몇 년 동안 늘 나타났던 패턴 중 하나입니다. 취약점이 발견되거나 새로운 익스플로잇이 개발되었다는 소식이 있으면 곧바로 봇넷 운영자들과 채굴자들이 등장하는 것 말이죠.”

로그4셸은 로그4j(Log4j)라는 자바 애플리케이션 내 로깅 도구에서 나타난 취약점이다. 로그4j는 사실상 거의 모든 자바 애플리케이션들에 존재한다고 볼 수 있으며, 따라서 로그4셸의 파급력은 역대 최고로 평가받고 있다. 처음에는 제로데이로 발견되었다가 지금은 CVE-2021-44228이라는 번호가 붙었고, 익스플로잇에 성공할 경우 원격 임의 코드 실행이 가능하다. 익스플로잇 난이도는 낮은 편이라고 전문가들은 말한다.

로그4j는 수많은 기업과 기관들이 매일처럼 사용하는 서버와 서비스에 깊숙이 임베드 되어 있는 것으로 알려져 있다. 아마존, 클라우드플레어, 엘라스틱서치, 펄스시큐어, VM웨어, 구글, 아파치 솔라 등도 전부 여기에 포함된다. 조직들이 자주 사용하는 API들에도 존재한다. 역대 최악의 취약점이라고 불리기에 손색이 없는 것이다.

보안 업체 노네임시큐리티(Noname Security)는 “취약한 애플리케이션을 파악하는 것도 쉽지 않다”고 말한다. “예를 들어 자바 아카이브 파일(JAR)에는 모든 디펜던시들이 다 포함되어 있습니다. 로그4j 라이브러리도요. 게다가 JAR 파일 안에 또 다른 JAR 파일도 들어있을 수 있습니다. 그리고 그 안에 또 다른 JAR 파일이 있을 수 있죠. 이런 파일 형식 때문에 취약한 로그4j를 다 찾아낸다는 게 불가능에 가깝습니다.”

보안 업체 헌트레스 랩스(Huntress Labs)의 보안 전문가 존 하몬드(John Hammond)의 경우 “사실 지구상의 모든 조직들에 영향이 있을 거라고 봐야 한다”고 말한다. “소프트웨어를 사용하지 않는 조직은 없고, 소프트웨어 기반의 각종 서비스를 어느 조직이나 직접 혹은 간접적으로 이용하고 있으니까요. 소프트웨어라는 것이 얼마나 깊숙하게 우리 생활에 들어와 있는지 이런 사건이 발생할 때마다 깨닫게 됩니다.”

탈로스의 전문가들은 “취약점 해결 및 위험 완화 작업을 하려는 조직들이라면 외부와 연결된 서버 및 애플리케이션만 점검해서는 안 된다”고 강조한다. “공격자들이 하는 대규모 스캔과, 취약한 시스템으로부터의 콜백 사이에 간극이 발견될 때가 있습니다. 이는 로그 수집 시스템이나 SIEM 시스템 같은 내부 시스템에 존재하는 취약점이 스캔 행위를 통해 발동되기도 한다는 뜻이 됩니다.”

보통 스캔과 콜백 사이의 ‘간극’은 거의 없는 것이 정상이다. 순식간에 호출과 응답이 있어야 하는데, 그렇지 않다는 건 백엔드 시스템을 거친다는 뜻이 될 때가 많다는 게 벤투라의 설명이다. “어느 조직이나 백엔드 시스템도 점검해야만 합니다. 로그4셸은 어디에도 있을 수 있습니다. 사용자가 제공한 입력값을 처리하는 시스템을 가동 중에 있다면 그것도 다 점검해야 합니다. 이 취약점의 범위를 결코 얕봐서는 안 됩니다.”

분석 업체 포레스터 리서치(Forrester Research)의 분석가 앨리 멜렌(Allie Mellen)은 내부 시스템만이 아니라 서드파티 서비스들까지도 점검해야 한다고 말한다. “클라우드 서비스만이 아니라 보안 도구들과 각종 IT 솔루션들에 대한 추적 행위와 검사도 필요하다는 것이죠. 하루 이틀 내에 되지는 않을 일입니다. 수개월이 걸릴 수도 있어요. 너무나 깊숙하게 관여하고 있는 소프트웨어라 다 찾아내기가 쉽지 않을 겁니다.”

멜렌은 “찾아낼 때마다 전부 패치를 한다는 건 불가능하니 장기적인 패치 계획을 세우는 것이 좋다”고 조언한다. “할 일이 엄청나게 많을 겁니다. 즉흥적으로는 도저히 처리할 수 없는 상황일 거예요. 취약한 요소를 찾아내는 것, 그리고 그걸 통해 과거에 혹시 이뤄졌을지 모르는 침해의 흔적을 해결하는 것, 그리고 취약점 패치를 적용해 미래 공격을 막는 것 모두가 진행되어야 할 겁니다.”

3줄 요약

1. 역대 최악의 취약점인 로그4셸, 장기적인 싸움이 될 것.

2. 너무나 여기저기 많은 소프트웨어에 있는 도구라 찾아내기도 힘들 것.

3. 이미 익스플로잇 되었을 가능성도 높으니 그런 흔적들까지도 찾아내야 함.

[국제부 문가용 기자(globoan@boannews.com)]​ 

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=103315&page=1&mkind=1&kind=)]