[올댓차이나] 中, 로그 4j2 문제로 알리바바 클라우드 자회사와 정보공유 중단

[서울=뉴시스]이재준 기자 = 중국 규제 당국은 22일 최대 전자상거래 업체 알리바바의 클라우드 서비스 자회사 아리윈(阿里雲 알리바바 클라우드 컴퓨팅)과 정보공유 제휴 관계를 정지했다.

21세기 경제보도 등에 따르면 중국 공업신식화부는 이날 아리윈이 사이버 보안상 취약점을 신속히 보고하고 대응하지 않았기 때문에 이 같은 조처를 했다고 밝혔다.

매체는 공업신식화부의 최근 통지를 인용해 아리윈이 자바 언어 기반의 오픈소스 로그인 프로그램 아파치 로그(Apache Log) 4j2의 결함을 당국에 보고하지 않았다고 전했다.

공업신식화부는 아리윈이 얼마전 로그 4j2를 발견하고 아파치 소프트웨어에만 이를 신고하면서 당국이 나중에 제3자로부터 이런 문제점을 알게 됐다고 설명했다.

로그 4j2는 기업 홈페이지 등 인터넷 서비스 운영과 관리 목적의 로그 기록을 남기기 위해 쓰는 프로그램이다.

업데이트를 수행하지 않을 경우 취약점을 악용해 공격자가 원격에서 공격코드를 실행시켜 심각한 피해를 당할 수 있는 것으로 나타났다.

공업신식화부는 아리윈이 로그4j2의 심각한 보안 취약점을 발견하고도 제때 보고하지 않아 당국이 사이버 보안 위협과 취약점을 관리하는데 효과적인 뒷받침을 하지 못했기에 6개월 동안 '사이버 보안 위협 정보공유 협력 플랫폼'에서 제외한다고 공표했다.

아리윈에 대해선 6개월 후 재평가해 관련 문제점을 개혁하고 시정했을 경우 협력 플랫폼을 재개하겠다고 공업신식화부는 덧붙였다.

이번 조치는 국가안전보장상이라는 구실로 주요 인터넷 인프라와 데이터 관리를 겨냥한 감독과 관리를 강화하는 중국 당국의 정책을 반영한다는 지적이다.

중국 정부는 국유기업에 대해 내년까지 데이터를 알리바바와 텅쉰(騰訊 텐센트) HD 등 민간 인터넷 대기업에서 국가가 지원하는 클라우드 시스템으로 이전하도록 지시했다.

공업신식화부는 지난주 통지를 통해 로그4j2 취약점이 기기의 원격조작으로 이어질 가능성이 있어 기밀정보의 절취와 기기 서비스의 저해 등 중대한 피해를 초래할 리스크가 크다고 경고했다.
◎공감언론 뉴시스 yjjs@newsis.com