자바 프로그래밍 언어로 만든 오픈소스 소프트웨어 로그4j(log4j)에서 최근 보안 취약점이 드러났다. 온라인 게임 ‘마인크래프트’ 채팅창에 프로그래밍 코드로 이뤄진 특정 메시지를 입력하면 대상 컴퓨터에서 원격으로 프로그램을 실행시킬 수 있는 현상이 나타났다.

수많은 인터넷 서버가 로그4j에 의존하고 있어서 실제 해킹을 당하면 피해는 걷잡을 수 없이 커질 수 있다. ‘컴퓨터 역사상 최악’이라는 지적을 받지만 현재로선 소프트웨어를 업데이트 하는 게 최선이다. 리스크를 안고 가는 셈인데, 그럼에도 오픈 소스를 포기할 수 없는 이유는 뭘까?

우선 투명하다. 오픈소스를 쓰면 해당 코드에서 어떤 데이터가 어디로 이동했는지, 바뀐 점은 무엇인지를 벤더에 의존하지 않고도 직접 확인하고 추적할 수 있다. 코드에 누구나 접근할 수 있고 커뮤니티도 활발해서 비공개 코드보다 적극적인 검토와 개선이 가능하다.

또 코드가 무료라서 비용도 아낄 수 있다. 산업계에도 오픈소스 장점을 적극 활용하고 있다. 아파치라는 소프트웨어 재단이 제공하는 ‘뼈대’에 ‘살’을 붙여 제품을 만든다. 리눅스도 오픈소스 버전으로 만들어진 운영체제(OS)다.

개인정보위원회 관계자는 “모든 회사가 똑같은 소프트웨어를 만드는 건 비효율적”이라며 “실제로는 오픈소스라는 검증된 프로그램을 가져다가 조금씩 고치거나 더해서 제품을 만든다”며 “이게 산업계가 돌아가는 생리라고 해야 할 것”이라고 밝혔다. 이어 “결함을 발견하면 누구라도 조치를 취하자는 게 바탕에 깔려있다”이라고 덧붙였다.

한편 로그4j를 관리하는 아파치 재단은 최근 문제를 해결한 보안 업데이트를 발표했다. 우리 정부는 기반시설과 정보보호관리체계 인증기업, 정보보호최고책임자 등에 긴급업데이트를 권고했다. 아직까지 국내·외에서 보안 침해사례가 접수되진 않은 것으로 알려졌다. 정부는 만일에 대비해 지원 체계를 구축했다. 개인정보보호 조치 의무를 다하지 않은 사업자 상대로 제재를 검토하고 있다.

과학기술정보통신부 관계자는 “로그4j를 이용하는 기업과 기관에 업데이트를 주문했고 현재 이용자들이 발 빠르게 조치 중”이라며 “예의주시하고 있고 사고가 생기면 지원해주는 방향으로 체계 구축했다”고 말했다.

개인정보위 관계자는 “아파치 측에서 결함을 알렸고 과기정통부도 업데이트를 권고했는데 이에 상응한 조치를 안 해서 개인정보를 유출한 사업자는 처분대상이 될 수 있다”고 설명했다.

송금종 기자 song@kukinews.com 기사모아보기