과기정통부, 아파치(Apache) 취약점(Log4j) 대응 긴급 정보보호최고책임자(CISO) 간담회 개최 - 기업 대응현황 긴급점검, 정부 지원 및 민·관 협력방안 등 논의 - |
□ 과학기술정보통신부(장관 임혜숙, 이하 ’과기정통부‘)는 12월 16일(목), ’아파치(Apache) Log4j 보안취약점 대응을 위한 긴급 정보보호 최고책임자(CISO) 간담회*‘를 개최하였다.
* KISA, NIPA, 한국정보보호최고책임자협의회, 한국공개소프트웨어협회, 한국정보보호산업협회 및 국내 주요기업 CISO 참여
o 이번 간담회는 지난 과기정통부의 취약점 관련 상황 전파 등 초동조치 이후, 보다 체계적이고 신속한 보안조치를 위해 기업의 정보보안을 책임지는 정보보호최고책임자(CISO)를 대상으로 취약점 대응현황을 긴급 점검하고,
- Log4j 취약점 공격 방어전략, 취약여부 점검방법, 보안조치 방안 등 세부적인 취약점 대응 방안에 대한 정보 공유 및 피해를 최소화하기 위한 민ㆍ관 협력 대응방안을 심도 있게 논의하였으며, 그간 대응현황도 공유하였다.
|
|
□ 과기정통부는 본 취약점 대응 관련으로 국민 기본생활 및 경제 안정에 영향을 미칠 수 있는 정보통신, 금융, 의료 등 주요정보통신기반시설(90개 기관, 147개 시설)을 대상으로 12.12(일)부터 Apache Log4j 2에서 발견된 취약점에 대해 긴급점검을 실시하였다.
o 전체 민간분야 기반시설(147개 시설) 중 30개 시설(20.4%)에서 Apache Log4j 2를 사용하고 있는 것으로 조사되었고 조속한 보안 패치가 완료될 예정이다.
□ 아울러, 과기정통부는 소프트웨어 관련 협회인 공개소프트웨어협회(회장 장재웅)와 한국소프트웨어산업협회(회장 조준희)를 통해 10,000여 개 소프트웨어 기업에 보안 업데이트 필요성을 긴급 공지하였으며, ’18년부터 기업이 공개 소프트웨어를 활용하여 소프트웨어 개발시 보안취약점을 미리 파악할 수 있도록 보안취약점 무료검사 서비스를 제공하고 있다고 밝혔다.
※ 공개SW포털 홈페이지(www.oss.kr, 정보통신산업진흥원)를 통하여 신청(보안취약점이 발견된 공개SW에 대한 컴포넌트명, 심각도, 대응방안 등도 조회 가능)□ 과기정통부 홍진배 정보보호네트워크정책관은 “Log4j 취약점의 영향을 받는 대상이 현재까지는 기업에서 운영하는 인터넷 서비스, SW가 대부분으로 기업들은 정보보호최고책임자(CISO)를 중심으로 신속하게 보안업데이트를 수행하고,
|
|
o 일반 국민의 경우는 직접적으로 보안패치를 할 사항은 없으나 평소와 같이 백신프로그램 설치 및 최신 보안업데이트 등 기본적인 정보보호 실천수칙을 잘 지켜 줄 것을 당부하였으며, 향후 일반 국민들이 사용하는 프로그램 등에 관련 취약점이 발견될 경우 즉각적인 보안조치 실시 등 국민 피해를 예방할 계획“ 이라고 밝혔다.
o 또한, 아파치(Apache) Log4j에 새로운 취약점이 계속 발견되어 보안패치된 신규버전(log4j 2.16.0(Java8이상), 2.12.2(Java7) 12.15기준)이 지속적으로 발표되고 있으므로, 관련 사항을 보호나라에 공지하고 있으니 주기적으로 확인하고 대응해줄 것을 특별히 당부하였다.
