ARP 스푸핑 공격 방식과 관련한 법정소송 사례 아직 없어
“관리주체가 누구인지에 따라 책임소재 달라질 수 있을 것”

[보안뉴스 민세아] 지난 3월 26일 발생한 반디소프트의 ‘꿀뷰’ 악성코드 유포 사건은 해커가 반디소프트와 같은 IDC(Internet Data Center)의 같은 IP 대역을 사용하는 다른 서버를 해킹한 후 ARP스푸핑 방식으로 반디소프트 홈페이지에 접근하는 사용자가 꿀뷰 프로그램 대신 악성코드를 다운로드 받도록 한 사건이다. 해당 공격은 두 시간 가량 지속됐고, 이를 통해 악성코드를 다운로드 받은 사용자는 약 200명인 것으로 확인됐다.


해당 사건이 발생한 후, 반디소프트가 이용하는 IDC에서 다른 서버의 해킹 사실을 확인하는 과정에서 반디소프트가 ARP 스푸핑 공격을 받고 있다는 사실을 알렸다. 이를 인지한 반디소프트 측은 해당 사실을 한국인터넷진흥원에 알린 후, MAC 주소를 고정주소로 변경하는 조치를 취한 것으로 알려졌다. 이후 홈페이지의 모든 http 프로토콜을 차단하고, https로만 접근이 가능하도록 했으며, 반디소프트 메인 홈페이지의 IDC를 이전했다고 알렸다.

반디소프트 측은 “평소 기본적인 PC 보안은 물론 설치된 프로그램의 최신버전을 유지하려 노력하고 있다. 내부적으로 보안설정을 최대로 높여놓고 있고, 해킹방지를 위해 모니터링 프로그램도 이용하고 있다”고 말했다.

이와 관련 한국인터넷진흥원 침해사고분석단 임진수 팀장은 “해당 사건 발생 이후, 악성코드를 다운로드 받은 사용자들에 대한 전용백신을 만들고, 악성코드 유포지와 C&C 서버를 바로 차단했다”며, “같은 IP 대역에서 하나의 서버에 여러 웹사이트를 운영하는 경우와 여러 개의 서버를 운영하는 경우 이러한 ARP 스푸핑 공격이 발생할 수 있다”고 전했다.

또한, 임 팀장은 “같은 IP 대역에서의 해킹 공격은 한쪽 서버가 아무리 보안이 철저해도 다른 쪽 서버가 보안에 취약한 경우 얼마든지 발생할 수 있기 때문에 MAC 주소를 고정해 관리하고, 서버 간에 통신이 되지 않도록 격리시키는 것이 중요하다”고 덧붙였다.

그럼 호스팅 업체의 입장은 어떨까? 국내 유명 호스팅 업체인 가비아 관계자는 “같은 IDC센터의 같은 IP 대역을 사용하는 서버에서의 ARP스푸핑 공격은 흔하게 발생한다. 이는 아무리 보안을 철저히 해도 다른 서버 측의 보안이 약하면 발생할 수밖에 없는 공격”이라며, “고객들에게 MAC 주소 고정 등을 권고하고 있고, 호스팅 업체 자체적으로도 공격 발생 시 최대한 빠르게 탐지해서 조치할 수 있도록 하고 있다”고 전했다.

이번 사건의 경우 반디소프트와 한국인터넷진흥원의 발빠른 대처로 사건이 잘 마무리됐지만, 만약 해당 사건으로 인해 사용자에게 큰 피해가 발생한 경우 책임은 누가 져야 하는 것일까?

법무법인 한별의 정재완 변호사는 “시간적인 부분을 볼 때는 반디소프트 측에서 사건 발생 직후 바로 탐지하고 대응한 것으로 보인다. 이에 대한 책임소재는 평소 반디소프트 측에서 얼마나 안전하게 기술적 조치를 취하고 있었는지가 관건일 것”이라고 전했다.

이어 법률사무소 연암의 김상천 변호사는 법적 책임과 사실적인 책임으로 나누어 설명했다. “법적 책임은 해당 기업이 정보통신망법에서 요구하는 조치를 다했는지 여부에 따라 달라질 수 있는데, 공격에 사용된 수법이 ARP 스푸핑으로, 이를 예방할 수 있는 MAC 주소 고정과 관련해서는 법적으로 상세히 기술되고 있지 않아 법적 책임 여부는 현재까지 불투명하다”고 설명했다.

하지만 김 변호사는 “사실적 책임 관계로 봤을 때는 ‘관리주체’가 누구인지가 관건”이라며, “기업에서 전체적으로 홈페이지를 관리·운영하고 IDC에 회선만 연결한 경우는 기업 측 책임이 크지만, IDC에서 전반적으로 관리하는 경우는 IDC 측의 책임이 더 크다고 볼 수 있다”고 설명했다.
[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>