이원영 기자
다양한 프로그램에 사용되는 자바 로그 출력 라이브러리에 Log4Shell(CVE-2021-44228)이라는 취약성이 발견되고 암호화폐 채굴이나 데이터 도난 등이 다발하거나 정부 관련 해킹 그룹이 Log4Shell을 사용하고 있다고 마이크로소프트가 경고하기도 했다. 미국 연방수사국 FBI와 미국사이버보안안보청 CISA가 11월 16일 공동으로 발표한 권고에 따르면 이란 정부로부터 지원을 받은 해커 그룹이 연방민간행정기관 FCEB 조직을 해킹하고 암호 해독 악성코드 XMRig를 도입하고 있다는 게 밝혀졌다.
Log4Shell은 자바 로그 출력 라이브러리(Apache Log4j)에서 발견된 취약점이다. 아파치 로그4가 널리 이용되고 있기 때문에 영향 범위가 크고 보안 관련 조직이나 보도기관이 수정 패치를 적용하도록 경고하고 있지만 멀웨어 확산이나 데이터 도난 등 피해가 다발하고 있다.
CISA도 Log4Shell 유행에 대응해 수정 패치를 적용하라고 밝히고 있다. 하지만 이후에도 Log4Shell 관련 위협은 2022년 3월에는 중국 정부로부터 국가적 지원을 받는 해커 집단이 미국 6개주 정부계 네트워크에 침입한 흔적이 있다는 보도가 나왔다. 중국 정부계 해커 집단 APT41이 적어도 미국 6개주 정부계 네트워크를 공략하고 있었다는 보고가 그것.
이어 11월 16일 이란 정부가 지원하는 익명 위협 그룹이 Log4Shell 취약점을 악용해 패치가 적용되지 않은 서버에 침입한 뒤 연방정부 네트워크에 침입했다고 CISA가 발표했다. FBI와 CISA 공동 권고에 따르면 이란 해커는 암호화폐를 채굴하기 위한 악성코드를 배포한 뒤 자격증명을 침해하고 침해된 서버에 리버스 프록시를 설정해 FCEB 기관 네트워크 내에서 지속성을 유지했다고 한다.
2021년 12월 Log4Shell 패치가 공개된 뒤 패커는 곧바로 패치가 적용되지 않은 채 방치된 시스템을 스캔해 공격을 시작한 것으로 보인다. FBI와 CISA는 Log4Shell에 대한 패치를 아직 적용하지 않은 모든 조직은 이미 해커에게 공격을 받았다고 생각해야 하며 각 기관은 네트워크에서 악의적 활동을 찾기 시작해야 한다고 조언하고 있다.
권고문에선 완화책과 방어책을 적용하라고 권고하고 있다. VM웨어 호라이즌(VMware Horizon), 통합 액세스 게이트웨이 UAG 시스템을 최신 버전으로 업데이트하라는 것. 또 인터넷에 연결된 조직 공격 대상 영역을 최소화하라는 것. 사이버 보안 권고 프레임워크에 맵핑된 위협 행동에 대한 조직 보안 프로그램을 연습, 테스트, 검증하라는 것. CSA에 기술된 ATT&CK 기술에 대해 조직 기존 보안 제어를 테스트하라는 것 등이다. 관련 내용은 이곳에서 확인할 수 있다.
이석원 기자
