<패닉시큐리티 신용재 대표>

최근들어 우리나라 인터넷은 크고 작은 웹해킹으로 몸살을 앓고 있다. 작년 초에 웹 페이지의 취약점을 이용하는 웜(Worm)이 처음으로 나와서 홈페이지 변조 사고가 급증하더니, 전자거래의 기본인 인터넷 뱅킹을 웹을 통해 해킹한 사고, 그리고 포털 싸이트들의 홈페이지를 변조해서 사용자에게 악성코드가 유포되게 하는 등의 사고로 일년 내내 조용한 날이 없을 정도였다. 이들 대부분의 원인은 하루가 멀다 하고 나오는 웹 취약점을 이용한 자동화, 지능화 된 공격도구의 출현과 크래커들의 특정 경제적 이익을 위한 목적이 결부되어 표면적으로는 사고로 나타나게 된 것이다.

중국발 해킹과 같이, 해킹을 당한 한 싸이트에서 유출된 고객정보가 크래커에 의해 특정 목적의 활동을 위해 다른 싸이트에서 몰래 이용되고 있는 것은, 결국 하나의 특정 싸이트의 웹 해킹 피해가 그 피해 싸이트에 국한 하는 것이 아니라 무고한 많은 사용자들에게 피해가 간다는 것을 의미한다.

사실 이와 관련된 대책은 정부적인 차원에서 마련되어야 할 것 같다. 물론 그 대책이 주민등록번호와 같은 개인정보의 노출을 점검하는 것 뿐만 아니라, 신규 및 기존 웹 싸이트의 취약점을 원천 봉쇄하는 등의 더 근본적인 문제를 해결해 나가야 될 때라고 판단된다. 이와 관련해서는 이미 우리나라 보안 전문가들이 이미 중국 발 해킹 프로그램과 유사한 공격도구는 물론이고, 다양한 웹 취약점을 사전에 점검하여 취약점을 찾는 프로그램 (웹스캐너) 개발에 성공하였으므로 이를 활용하는 방안을 정부차원에서 고민해야 할 것 같다. 왜냐하면, 칼은 범죄자가 사용할 때 심각한 피해를 주지만, 의사가 의료용으로 사용했을 때는 수많은 생명을 구할 수 있다. 민간 기관이 사이버 총칼인 취약점 검증 및 해킹 유사 프로그램을 사용하여 취약점을 검증 하는 것은 여러 한계가 있으며, 많은 오해의 소지를 야기하기 때문에 현실적으로 어려움을 많이 겪고 있는 실정이다.

따라서 정부차원의 검토가 이루어 진다면 앞서 말한 더 근본적인 문제를 해결하는 것이 가능하지 않을까? 예를 들어 민관 협력 기관에서 상시 점검 시스템을 구축하여 대한민국으로 등록된 인터넷 도메인의 웹사이트를 점검하는 체계를 만든다던가, 일정 규모의 고객 정보를 가지는 기존 및 신규 싸이트들에 대한 취약점 점검 서비스를 의무화하여 이를 정부차원에서 지원하는 것도 한 방편일 것이다.

[글: 신용재 ㈜패닉시큐리티 대표, ㈜패닉시큐리티는 해커들이 모여서 2004년 설립된 웹보안 전문업체이다. www.panicsecurity.com] 

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>