웹취약점, 웹셸 탐지·웹취약점 점검·웹보안관제 등으로 강화해야

[보안뉴스 김경애] 잇따른 보안사고로 인해 웹서버 보안의 중요성이 갈수록 커지고 있다. 특히 공공기관 웹사이트의 경우 전 국민이 이용하는 곳으로 대민서비스와 다양한 정보를 제공하고 있어 더욱 중요하다. 

그러나 국내 공공기관의 보안실태를 살펴보면 아직은 미흡한 실정이다. 안행부가 발표한 2013년 현장점검 결과에 따르면 총 331개소 중 89.7%가 위반에 해당되며, 안전조치 미흡이 44.2%를 차지했다. 이는 취약점과 침해신고  위주로 조사한 결과로 아직까지 보안대책이 미흡하다는 사실을 여실히 보여주고 있다.

그 가운데서도 관심 있게 봐야할 부분이 바로 웹취약점이다. 한 공공기관 관계자에 따르면 공공기관의 92%가 웹셸에 취약한 것으로 조사됐다. 주기적이고 효과적인 웹 취약점 점검을 통한 보안 강화가 무엇보다 중요한 이유다.

이와 관련 한 공공기관 관계자는 “현재 맡고 있는 웹사이트만 해도 300개 이상으로 공공기관 웹사이트가 너무 많다”며 “보안의식이 부족한 상태에서 홍보 목적에만 치중해 너무 많은 사이트를 만들었다. 그러다 보니 정작 웹서버 보안은 제대로 이뤄지지 않는다”고 우려했다.

이로 인해 웹셸이 웹서버 곳곳에 심어져 있고, 이를 제대로 발견조차 못하고 있는 실정이라는 것.

다른 공공기관 관계자도 “웹취약점은 공격자에게 출입문을 열어주는 꼴”이라며 “자바 등의 주요 SW 취약점은 계속 발견되고 있고, 보안담당자 능력에 따라서도 취약점 발견에 차이가 날 수 있어 웹 취약점의 근본적인 해결은 결코 쉽지 않다”고 말했다.

이어 그는 “웹셸 문제를 해결하기 위해서는 보안담당자 또는 IT담당자들이 의지를 갖고 처리해야 하는데 예산이 부족한 게 현실”이라고 토로했다.

이에 안행부는 공공기관을 대상으로 시큐어코딩 의무화를 시행하고 있다. 그러나 시큐어코딩을 한다고 해도 완벽하지 않다는 것이 전문가들의 공통된 의견이다. 무엇보다 웹보안과 시큐어코딩을 함께 고려할 수 있는 인재가 절대적으로 부족하다는 것.

이와 관련 한 보안전문가는 “현재까지는 보안을 고려해 개발할 수 있는 있는 멀티형 인재가 부족한 실정”이라며 “양성된다 하더라도 보유한 지식 정도에 따라 보안강도가 달라질 수 있다”고  말했다.

그렇다면 공공기관 및 민간기업에서는 웹보안 강화를 위해 어떻게 해야 할까? 이와 관련 한 보안전문가는 “현 시점에서는 주요 공공기관의 웹 보안관제가 제일 중요하다”며 “홈페이지를 위·변조하지 않더라도 APT처럼 고도화된 공격이 가능하고, 당장 사용하지 않는 악성코드라도 언젠가 활용하기 위해 웹서버에 심어놓는다”고 설명했다.

이에 따른 보안대책으로 그는 실시간 웹셸 탐지 및 웹 취약점 점검과 함께 웹보안관제와 시큐어코딩 등의 방어체계를 갖출 것을 당부했다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>