​민간분야 기반시설 30개에서 로그4j 사용, 보안 패치 완료 예정

과학기술정보통신부가 아파치 로그4j 대응 긴급 CISO 간담회를 12월 16일 개최했다.[사진=과학기술정보통신부]

과학기술정보통신부(과기정통부)가 아파치 로그4j 보안취약점 대응을 위한 긴급 정보보호 최고책임자(CISO) 간담회를 개최했다.

이번 간담회는 취약점 관련 상황 전파 등 초동조치 이후, 체계적이고 신속한 보안조치를 위해 기업 CISO를 대상으로 취약점 대응현황을 긴급 점검하기 위해 마련됐다. 이 자리에서 취약점 공격 방어전략, 취약여부 점검방법, 보안조치 방안 등 세부적인 취약점 대응 방안을 공유하고, 피해를 최소화하기 위한 민관 협력 대응방안도 논의했다.

과기정통부는 일상 생활과 경제 안정에 영향을 주는 정보통신, 금융, 의료 등 주요정보통신기반시설(90개 기관, 147개 시설)을 대상으로 지난 12일부터 긴급점검을 실시했으며, 민간분야 기반시설 중 30개 시설(20.4%)에서 로그4j를 사용 중인 것으로 파악했다. 이들에 대한 보안 패치는 조속히 완료할 예정이다.

아울러, 과기정통부는 소프트웨어 관련 협회인 공개소프트웨어협회와 한국소프트웨어산업협회를 통해 1만여개 소프트웨어 기업에 보안 업데이트 필요성을 긴급 공지했으며, 보안취약점 무료검사 서비스도 제공하고 있다고 밝혔다.

홍진배 과기정통부 정보보호네트워크정책관은 "로그4j 취약점의 영향을 받는 대상이 현재까지는 기업에서 운영하는 인터넷 서비스와 소프트웨어가 대부분이다. 기업은 CISO를 중심으로 신속하게 보안업데이트를 수행해야 한다. 일반인은 직접적으로 보안패치를 할 사항은 없으나 평소와 같이 백신프로그램을 사용하고 최신 보안업데이트를 진행하는 등 기본적인 수칙을 잘 지켜 길 바란다"며 "향후 일반 소프트웨어 등에 관련 취약점이 발견될 경우 즉각적인 보안조치를 실시해 피해를 예방할 계획"이라고 밝혔다.

한편, 로그4j에 새로운 취약점이 계속 발견돼, 이를 개선한 신규버전이 지속 발표되고 있다. 16일 현재 최신 버전은 자바8의 경우 2.16.0, 자바7은 2.12.2다.