피해자들에 대한 사과공지와 재발방지 대책 수립해야...!

7일 오전 11시경 2개의 악성코드는 제거된 상태

온라인 취업사이트 리크루트에서 유포되었던 트로이목마는 해당 관리자도 알 수 없는 어려운 소스코드를 이용해 교묘히 숨겨져 있었던 것으로 밝혀졌다.

웹사이트의 소스코드를 보는 방법은 인터넷사용자라면 누구나 알 수 있다.

우선 익스플로러 상단에 [보기]라는 버튼을 클릭하고 [소스보기]를 하면 메모장이 열리고 메모장 상단 메뉴중 [서식]에서 ‘자동 줄바꿈’ 체크 후, 그 소스안에서 악성 스크립트가 삽입돼 있는 것을 확인할 수 있었다. (현재는 제거된 상태) 

리크루트에 유포되있는 악성코드 소스 부분은 2군데였으며 현재는 지오트측이 악성코드소스를 리크루트 측에 공개해 수정조치가 이루어진 상태다.

리크루트 측 관계자는 “지난해부터 소스를 개선하는 작업을 해왔고 12월에 트로이목마 문제가 발생한 사실을 알게됐다. 당시 KISA(한국정보보호진흥원)의 보안가이드라인에 맞춰 대대적인 정비작업을 한 바있다. 또한 지금도 계속해서 미비점을 찾고 대비책을 늘려가고 있는 중”이라고 답했다.

하지만 12월 당시 악성코드에 대한 발견도 리크루트 측이 아닌 지오트에서 발견해 KISA에 통보를 했고 KISA측에서 리크루트에 시정권고를 내린 것으로 밝혀졌다. 

한편 악성코드로 인한 사용자의 피해와 주의당부에 대해서는 전혀 공지를 하지 않았다는 사실은 리크루트 뿐만 아니라 현재 해킹 사실을 알면서도 쉬쉬하는 수많은 사이트들이 각성해야할 부분이며 지속적으로 발전하고 있는 해킹 공격에 대한 방지대책을 세우지 않았다는 점도 문제다.   

우선 리크루트측은 윤리적 측면에서 리크루트 사용자에게 정확한 사실 공지를 하는 것이 바람직하다. 언제부터 언제까지 리크루트를 방문한 이용자들에게 메일이나 공지를 통해 사실관계를 밝히고 이용자들이 백신프로그램을 설치해 검사를 할 수 있도록 권유하고 재발방지에 최선을 다하겠다는 공지를 해야 한다. 

한편 리크루트 사이트 관리자는 지속적으로 악성스크립트에 대한 대비책을 마련해야 하고 스크립트 수정과 함께 홈페이지 코드수정을 해야한다. 즉 SQL 인젝션 공격에 취약한 부분을 수정해 재발을 방지해야 한다고 전문가들은 권고한다.

더불어 웹방화벽이 구축되지 않았다면 웹방화벽 구축과 함께 고객정보보호 강화에 많은 투자를 해야할 것이다.

리크루트 관계자는 “해킹 대상이 될 수 있는 파일 몇가지를 선정해 5분 간격으로 자동으로 파일이 갱신될 수 있도록  세팅이 돼있고 근래에는 서버까지 새롭게 세팅해 보안유지에 노력을 해왔다” 또한 “정부기관에 의뢰를 받아 취약점 검사도 꾸준히 했음에도 불구하고 이번과 같은 일이 벌어져 난감하다”고 밝혔다.

KISA측은 지난달 27일 리크루트의 ┖웹 애플리케이션 취약점 점검 보고서┖에서 "웹 관련 소스의 인자 검증 부분의 문제로 인해 공격자가 임의의 SQL 인젝션 공격이 가능할 수 있다"고 밝혔으며 "비록 SQL 인젝션이 발생하지 않았지만 인자조작을 통해 SQL 인젝션을 유도할 수 있다. 이를 대비하기 위해서는 해당 URL에 대한 소스코드 점검을 수행해야 한다"고 권고한바 있다.

만약 이러한 문제제기가 없었다면 리크루트측은 이 사실을 언제쯤 알 수 있었을까? 리크루트는 ┖공공의 사이트┖라는 점을 명심해야 한다. 따라서 근본적인 조치와 홈페이지상에 피해자들에 대한 사과문 및 재발방지에 노력하겠다는 공지를 반드시 게재해야 할 것이고 만약 그렇지 않을 경우 <보안뉴스>는 지속적으로 문제제기를 할 방침이다.

[길민권 기자(boannews@infothe.com)]

<저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지.>