3대 최악의 보안위협으로 불리는 로그4J 보안 취약점이 공개된 지 2년이 지났다. 하지만 여전히 3분의 1 이상의 앱에 관련 위협이 남아있는 것으로 확인됐다.
11일(현지시간) 더레지스터 등 외신에 따르면 보안기업 베라코드는 자체 조사 결과 3분의 1을 넘는 38%의 앱에서 취약점이 노출된 기존 로그4j라이브러리를 사용 중인 것을 확인했다고 밝혔다.
이번 조사는 로그4J 취약점 발표 이후 기업들이 오픈소스 소프트웨어(SW) 보안 상태를 어떻게 개선했는지 평가하기 위해 진행됐다. 지난 8월 15일부터 11월 15일까지 90일 동안 3천866개 조직의 3만8천278개의 앱을 분석했다.
조사결과 2.8%의 앱이 로그4쉘 취약점이 있는 로그4j 버전(Log4j2 2.0-베타9~2.15.0)을 사용하고 있었으며, 3.8%는 또다른 로그4J 취약점이 있는 로그4j2 2.17.0 버전을 이용하는 것으로 나타났다.
32%에 달하는 앱은 2015년 8월에 수명이 종료되어 더 이상 패치를 지원하지 않는 로그4J2 1.2.x 버전을 사용하고 있었다. 지난해 1월 아파치는 해당 버전에 존재하는 치명적인 로그4J 취약점 3종을 발표한 바 있다.
베라코드의 크리스 응 최고연구책임자(CRO)는 ”조사 결과 앱 3개 중 1개 이상이 현재 취약한 로그4J 버전을 실행하고 있다는 사실은 조직이 얼마나 많은 오픈소스 보안 위험에 노출되어 있는지, 그리고 이를 완화하는 방법을 인식하지 못할 수 있다는 것을 의미한다”고 설명했다.
그는 “이번 조사를 통해 우리는 개발자들이 오픈소스 라이브러리를 코드 베이스에 포함시킨 후 더이상 업데이트하지 않는 경우가 79%에 달한다는 사실을 발견했다”며 “왜 그렇게 많은 비율의 앱에서 수명이 종료된 로그4J 버전을 사용하고 있는지 알 수 있었다”며 보안 취약점의 원인을 밝혔다.
더불어 비용과 개발 여력도 취약점 수정에 많은 영향을 미치는 것으로 나타났다. 외부 라이브러리의 경우 메이저 업데이트가 이뤄지면 기존 버전과 호환성을 유지하기 어려워 추가적인 유지 보수작업을 수행하기 위해 비용과 인력을 요구한다. 문제는 조직에서 이러한 취약점을 알아내고 수정할 개발 여력이 부족할 경우 취약점의 절반을 수정하기 위해 약 13.7배 더 오랜 시간이 걸리는 것으로 나타났다.
또한, 보안취약점이 있는 라이브러리를 비롯해 해당 라이브러리가 앱과 어떤 연관이 있는지 등 상황 정보가 부족할 경우 취약점을 수정하는데 7개월 이상의 기간이 필요했다.
이러한 어려움으로 인해 최근 북한의 해킹 조직인 라자러스 그룹도 로그4J 보안 취약점을 노린 공격을 자주 시도하는 것으로 보인다는 분석도 나오고 있다.
크리스 응 CRO는 오픈소스 라이브러리로 인한 취약점을 해결하기 위해 시스템 모니터링 및 보안 테스트 자동화 기능을 도입할 필요가 있다고 조언했다.
관련기사
- 美 상원, '오픈소스 SW 보안법' 상정2022.09.30
- "로그4j 취약점 이용한 해킹 공격 여전히 극성"2022.06.27
- 로그4j 취약점 스캐너 '오픈소스'로 공개했더니 생긴 일2022.04.13
- '로그4j' 사태 후 50일.."몇 년은 지켜봐야"2022.01.31
그는 “이번 조사는 오픈소스의 취약성이 어떻게 조직에 심각한 위험을 초래할 수 있는지 보여주는 예시에 불과하다”며 “보안 기술 부채를 해결하지 않고 방치한다면 이후 더 큰 사고로 인해 막대한 피해로 돌아올 수 있는 만큼 보안 취약점을 식별할 수 있는 보안 대책을 마련해야 한다”고 강조했다.
로그4J는 아파치 소프트웨어 재단에서 개발한 자바기반 오픈소스 로깅 라이브러리다. 로깅은 웹애플리케이션의 활동 내역을 보존하는 프로세스로 당시 거의 모든 웹서비스에서 해당 라이브러리를 사용하고 이어 전 세계적으로 막대한 피해가 우려됐다.