안전진단평가 대상에도 포함 안돼 보안 사각지대로 방치

[보안뉴스 오병민] 최근 블로그나 중소 인터넷사이트의 수익모델중 하나인 제휴광고 서비스 업체를 노린 해킹공격이 나타나 제휴광고를 이용하고 있는 많은 사용자들에게 피해를 입혔던 것으로 파악됐다. 아울러 제휴광고 서비스는 많은 사이트에 노출돼 있음에도 불구하고 정보보호 안전진단평가 대상에도 속하지 않고 보안 사각지대로 방치되어 있어 같은 사고가 재발할 수 있다는 주장도 제기됐다.

최근 국내 유명 제휴광고서비스 업체들이 서버가 해킹공격에 노출돼 블로그나 인터넷사이트에 삽입되는 제휴광고 서비스에서 악성코드가 유포된 것으로 확인 됐다.

제휴광고는 개인 블로그나 개인 인터넷사이트에 위탁받은 광고 박스를 부착함으로써 광고수익을 개인블로그나 인터넷사이트의 운영자에게 나눠주는 서비스이다. 이에 따라 많은 블로거나 인터넷사이트 운영자들은 제휴광고를 수익모델로 이용하고 있다.

A 제휴광고서비스 업체의 경우 자체적으로 운영하는 특정 서비스에서 해킹 공격이 나타나 제휴광고 서버까지 해커들이 침입한 것으로 파악됐다. A 제휴광고서비스 업체 측은 중국을 경유한 해킹 공격으로 인해 제휴광고 서비스에 악성코드가 삽입된 것을 확인하고 발생 후 악성코드가 삽입된 것으로 판단되는 서비스의 코드를 개선하고 서비스를 분리시켜 추가적인 제휴광고서비스에 악성코드 삽입이 이뤄지지 않도록 조치를 취했다고 밝혔다. 

문제는 개발·운영의 편의성을 위해 서버간의 콘솔접속 및 파일 카피를 허용한 것이 원인이었던 것으로 나타났다. 즉 보안에 취약한 특정 서비스의 해킹으로 다른 서버까지 해킹공격의 영향을 받은 것.

해당 업체의 한 관계자는 “해킹 사고 이후 방화벽 설정을 강화해 서버 간 콘솔접속 및 파일 카피 기능을 차단했으며 시스템 계정에 레벨을 설정해 권한을 축소 조정하는 조치를 취했다”면서 “더불어 보안장비에 대한 추가투자를 계획하고 있으며, 프로그램 위변조를 확인할 수 있는 버전관리 및 형상관리 솔루션 도입을 통해 보안을 강화할 계획”이라고 밝혔다.

A업체 외에도 제휴광고업체들은 대부분 업체들이 보안에 소홀히 한 것으로 전해지고 있다. 제휴광고 서비스를 통해 악성코드에 감염된 피해자가 끊임없이 나타나고 있기 때문. 제휴광고는 롱테일 법칙에 의해 가급적 많은 수의 블로그나 소규모 인터넷사이트들에 광고를 부착하는 것으로 광고효과를 높이고 있다. 따라서 제휴광고는 매우 많은 이용자들에게 노출될 수 있어 보안 점검이 꼭 필요하다.

하지만 국내 일부 제휴광고업체들은 주요 인터넷서비스 기업이 의무적으로 받아야하는 정보보호 안전진단 평가에도 적용되지 않는 것으로 파악됐다. A업체의 경우 국내 유명 제휴광고업체임에도 불구하고 “안전진단 평가대상이 아닌 것으로 알고 있다”고 말했기 때문.

정보보호 안전진단 평가는 주요 인터넷 서비스 기업들의 보안의 안정성 확보를 위해 기술적·관리적·물리적 보호조치 등에 대한 정보보호 이행 여부를 점검하는 제도이다.

이에 대해 한국인터넷진흥원의 한 관계자는 “100억 원 이상 매출을 올리거나 일일 방문자수가 100만 이상인 인터넷 주요사업자들은 안전진단 평가를 받도록 돼 있다”면서 “아마도 (제휴광고서비스는) 방문자 개념이 아니고 페이지뷰 개념이기 때문에 적용이 안 되는 것 같다”고 언급했다.

박나룡 보안전략연구소장은 “서비스의 변화에 따라 이용자에게 미치는 보안위협도 달라지는 만큼, 안전진단 의무화 대상 기준도 적절한 범위로 확대할 필요가 있다”고 말했다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>