웹하드 업체들은 대부분 영세한 상황으로 보안에 대한 대비가 없어 많은 공격자들이 이를 악용하고 있다. 특히 지난 3.4DDoS 공격 때는 웹하드가 공격 악성코드 유포의 주범으로 지목됐을 정도로 공격자들의 주요 유포 수단이 되고 있다. 더불어 공격자들은 접속자가 많고 관리가 허술한 주말에 악성코드 유포에 더욱 열을 올리고 있다. 

문종현 잉카인터넷 시큐리티 대응센터 팀장은 “주말에는 많은 누리꾼들이 주중에 보지 못했던 드라마나 영화를 다운받기 위해 웹하드에 접속하는데 공격자들은 이를 노려 악성코드 유포를 집중하고 있다”면서 “이 같은 상황은 어제 오늘만의 일이 아니며 꾸준히 증가하고 있다”고 말했다.

유포되는 악성코드의 대부분은 OS나 웹브라우저, 플래시 등 주요 소프트웨어의 보안패치가 활성화 되지 않은 보안취약점을 이용한 경우가 많아 감염률이 매우 높은 상황. 특히 보안패치가 제공되지 않는 제로데이 취약점을 이용한 악성코드가 포함된 경우에는 웹하드를 이용하는 것만으로도 악성코드에 감염될 수 있다.

취약점 분석서비스 업체 빛스캔의 문일준 대표는 “악성코드 감염을 최소화 하기 위해서는 일단 사용자들의 보안패치 적용과 백신 검사와 같은 감염 방지에 대한 노력과 조치가 필요하다”면서 “그 뿐만 아니라 근본적으로는 웹하드 스스로 악성코드를 유포하지 않도록 자체 보안관리에도 노력을 기울여야 할 것”이라고 강조했다.

웹하드 업체들의 허술한 보안관리가 지적됨에도 불구하고 대부분 웹하드 업체의 보안 실태는 개선되지 않고 있다.

김신겸 방통위 사무관은 “3.4 DDoS 당시 웹하드 업체에 보안강화를 강조하는 공문을 보내 어느 정도 성과가 있었지만 아직도 부족한 상황”이라며 “법적으로 이들(웹하드 사업자)을 단속할 수 있는 권한이 없어 개선이 쉽지 않다”고 말한다.

대안이 전혀 없지는 않다. 웹하드 사업자 등록시 정보보호가 허술한 사업자를 걸러내면 되기 때문이다.

보안업계의 한 전문가는 “11월부터 시행되는 웹하드 등록제(전기통신사업법 수정안) 기준에 정보보호 항목을 포함한다면 보안이 허술한 사업자의 서비스 개시를 줄일 수 있을 것으로 보인다”고 주장한다.

웹하드등록제는 불법 콘텐츠나 음란물 유통을 막기 위해 지난 4월 국회를 통과한 전기통신사업법 수정안을 의미한다. 이전까지는 신고제로 운영돼 아무런 제약 없이 웹하드 서비스를 진행할 수 있었지만 11월 이후로는 의무적으로 방송통신위원회의 등록절차를 거쳐야만 서비스를 제공이 가능하다. 즉 시행령에서 사업자 조건으로 보안 관련 항목이 포함돼야한다는 의견이다.

양기성 방통위 인터넷 정책과 사무관은 “현재 시행령 수립을 위해 관련업계의 의견을 받고 있는 상황이기 때문에 어떤 것도 단정지어 말할 수 있는 상황은 아니다”면서 “필요하다는 의견이 모아지면 논의될 수 있을 것”이라고 말했다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>