자동화되고 지능화된 공격, 누구도 피할 수 없어

[보안뉴스 오병민] 많은 인터넷 사이트 관리자들은 “해킹은 운 나빠서 당하는 것”이라며 해킹에 대한 피해의식을 가지고 있다. 물론 정부와 같은 대표성을 가지는 인터넷 사이트들은 제외하고 말이다.

 

해킹 당한 인터넷 사이트의 관리자들의 이야기를 들어보면 “왜 하필 우리 사이트를 공격하는지 모르겠다”라고 하소연 하곤 한다. 이런 생각을 가지고 있는 관리자들은 해킹에 대한 사실을 가급적 은폐하려고 하고 피해에 대해서도 언급하지 않으려 한다. 예전에는 정말 운이 나빠 해킹당하는 사례가 많았으니 이해가 되기도 하다.

그러나 최근에는 이런 변명은 통하지 않을 것 같다. 그 이유는 최근 해킹 경향이 예전처럼 수동적으로 한 사이트를 공략하는 사례는 크게 줄은 반면 자동화 된 공격 툴과 전파력 있는 악성코드로 인해 취약점을 가지고 있는 인터넷 사이트는 무조건 해킹을 당할 수밖에 없는 상황이기 때문이다.

보안업계의 한 전문가는 “최근 해킹 동향이나 악성코드 동향을 살펴보면 자동화되고 지능적으로  광범위하게 해킹 타깃을 찾아 피해를 입히고 있다”면서 “재미있는 사실은 대부분 피해를 입는지도 모르는 경우가 많다는 사실”이라고 이야기한다.

그동안 해킹은 금전적인 이익을 취하기보다는 누군가에게 과시하려는 목적이 가장 컸다. 따라서 해킹을 한 후에 꼭 해킹그룹이나 자신의 닉네임 등 흔적을 남겨 자신을 과시하곤 했다. 그러나 최근에는 이런 부질없는 행위보다는, 실질적으로 목적만 수행하도록 악성코드를 은닉시키고 있어 피해가 크게 드러나지 않는 이상 해킹한 흔적을 남기지 않는 사례도 크게 증가하고 있다. 범죄자들의 최종 목적은 완전범죄이며, 사이버범죄자들도 마찬가지다.

결국 사이버범죄자들은 과시형 해커들과는 달리 자신을 드러내지 않고 허점을 보이면 무조건 공격한다. 이런 공격은 자동화된 툴로 광역적으로 이뤄지기 때문에 그 누구라도 타깃이 될 수 있다. 특히 최근 Mass SQL인젝션 공격의 경우에는 악성코드에 감염된 방문자가 방문한 사이트에 허점이 있으면 무조건 공격을 시도한다.

결국 이런 시대에서 해킹을 당했다는 것은 결국 ‘운이 나쁜 것’이 아니라 ‘제대로 관리를 못한 것’이라고 볼 수 있다.

인터넷 사이트 관리자들은 최신 보안패치와 최신 보안 취약점 정보에 관심을 기울여 악성공격자들의 공격(해킹)에 대한 만반의 준비를 해야 한다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>