웹 서비스, 근본적으로 해킹 취약점 존재

정상적인 서비스와 해킹 구분 어려움

새로운 형태의 공격→IDS 탐지 불가능

보안담당자들의 할 일들이 점점 많아지고 있다. 그리고 전문적인 지식이 없으면 도저히 막을 방법이 없을 정도로 내 외부의 침입시도는 점차 늘어만 가고 있다. 보안담당자의 고민들은 대략 이런 것들일 것이다. 우리 회사는 외부 해킹시도에 안전한가? 정보보안 수준을 향상시키려면 무엇을 먼저 해야 하는가? 효율적으로 정보보안을 추진하기 위해서 필요한 것은 무엇인가? 내부로부터의 정보유출을 어떻게 막을 것인가? 본사와 지사의 보안수준의 갭을 어떻게 극복할 것인가? 등등일 것이다.

이러한 과제중에 하나가 바로 고객의 개인정보를 확고하게 지켜주는 것도 포함된다. 올해 3월부터 5월까지 개인정보 유출 피해건수만 해도 3천여만건이나 된다. 또한 개인정보 유출로 인해 게임사와 일반 PC이용자간에 법정소송이 벌어지는 등 이로인한 정신적, 경제적 피해는 일일이 열거할 수 없을 지경이다.

특히 지난해부터 꾸준히 문제제기 되고 있는 일명 ‘중국발 해킹’의 근본원인은 게임계정을 탈취해 그것으로 아이템을 빼돌리고 이를 불법으로 판매해 돈을 마련하기 위한 것이다. 문제가 있었던 게임사에서는 강력한 보안팀을 구성하고 보안강화를 위해 애를 쓰고 있지만 다른 사이트에서 게임계정을 탈취해 아이템을 빼가는데는 속수무책이다.

중국해커, 국내 취약한 사이트 경유해 공격 시도

게임업계 관계자는 “중국해커들의 공격을 분석해보면 한국의 취약한 사이트를 경유해 공격을 시도하는 경우도 있고 중국과 한국내 VPN 서비스 제공업체를 경유해 공격을 시도하는 경우도 있다”고 밝혔다. 또한 직접적인 서버나 네트워크 장비로의 공격보다는 취약한 유저들의 PC 사이드공격을 주로 많이 하고 있다는 것이다.

또 다른 관계자는 “해커들이 원하는 것을 해킹을 통해 얻지 못하게 해야하며 게임아이템과 사이버머니 등의 현금거래를 규제하는 쪽으로 가야한다”고 강조했다. 이를 위해서는 개인의 보안의식이 가장 중요하다고 덧붙였다.

또한 국내 웹호스팅업체 관계자는 “웹호스팅용 서버는 복수의 계정이 사용할 수 있게 만들어졌기 때문에 익명의 공격이나 악의적인 목적의 계정 사용자에게 취약할 수 밖에 없다”며 “한편 정상적인 서비스와 해킹에 대해 로그 및 IDS에서 구분이 어렵고 새로운 형태의 공격에 대해 IDS에서 탐지가 불가능하다”고 어려움을 토로했다.

웹 서비스에 대한 새로운 취약성 및 공격 방법들이 등장하고 웹 서버가 아닌 웹 프로그래머의 오류로 인한 취약점이 노출되고 많은 웹 응용프로그램에 대한 보안성 판단이 어려운 처지에 있어, 이 때문에 중국발 해킹이 웹을 이용해 더욱 창궐하고 있는 이유이기도 하다.

장비구축과 엄격한 보안설정...로그분석 등이 최선책

전문가들은 “고성능 보안장비 구축을 권장하고 엄격한 보안 설정과 로그분석이 최선책이다. 이것을 위해서는 서버 담당자가 확인 서버상태를 확인할 수 있는 모티터링 툴과 원격 관리가 용이한 서버쪽 보안툴을 활용하는 것이 좋다”고 조언한다.

NHN 보안분석팀 전상훈 팀장은 “국내 인터넷 유저 전체를 대상으로 한 개인정보 유출 시도가 중국발 해킹을 통해 지속적으로 이루어지고 있으며 향후에도 대규모 해킹 가능성이 존재한다”며 “중국발 해킹에 대한 종합적인 대책이 필요하다”고 강조했다.

이를 예방하기 위해 NHN 측은 키보드보안 솔루션을 도입하고 있으며 데이터 암호화를 철저히 하고 있다. 또한 유저들에게 자동적인 MS패치를 설정해 놓았고 사이트 접근시 게임과 관련된 바이러스 및 악성코드 제거 프로그램을 가동중이다.

정보보안 전문가들은 “중국 해커들의 목적은 사용자 개인정보 특히 게임 ID와 패스워드를 탈취하는 것이다. 그들은 국내외 사이트의 모든 시스템 권한을 지니고 있음에도 불구하고 악성코드 유포로 개인정보 탈취를 목적으로 하고 있다. 국내 다수의 유명 사이트들은 상당한 위험에 처해있으며 특히 MS-SQL DB를 사용하는 사이트는 DB 진단 및 인자의 유효성 체크를 반드시 해야 한다”고 강조했다.

또한 무작위 적인 사용자 정보를 유출하기위해 여러 국내외 유명사이트들 페이지 변조를 시도하고 있고 MS-SQL DB에 대한 SQL 인젝션 툴과 Mysql, Oracle DB에 대한 공격툴의 출현이 있을 수 있다고 말한다. 한편 개발언어인 asp, aspx, jsp 등 전체가 위험요소가 있는 것으로 나타났다.

웹 어플리케이션 인자의 유효성 체크가 필수

보안담당자 책임감과 개인사용자 보안의식 고취

이러한 중국발 해킹의 위협을 예방 혹은 조기대응하기 위해 정보보호 전문가들은 “개인의 보안의식이 가장 중요하다. 특히 보안패치와 보안솔루션에 대한 작은 투자가 무엇보다 중요하고 개인정보를 함부로 노출시켜서는 안된다”고 조언했다.

한편 “웹 보안담당자들은 웹 어플리케이션 인자의 유효성 체크가 필수다. DB 쿼리에 변수로 사용되는 모든 인자에 대해 입력값 검증이 수행되야 한다. 특히 정수이여야만 하는 입력값에 대해 정수값 여부를 체크하고 DB컬럼의 크기와 같거나 작은지도 체크해야 한다. 또 ┖, <, >, ;, --와 같은 문자가 변수에 존재하지 않도록 강력한 체크가 필요하다”고 덧붙였다.

물론 SQL 인젝션 및 발리데이션 체킹 프로그램의 사용 및 주기적 점검이 필요하고 어플리케이션 개발자의 보안 문제 인식을 통한 습관화된 인자 유효성 체크가 반드시 수반되야 한다는 의견도 있다. 이와 함께 DB의 권한 축소 및 불필요한 Stored Procedure를 제거하는 것도 필수적이라는 지적도 있다.

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>