영세 기업 웹사이트에 대한 이렇다할 규제 없어
감염 웹사이트 방문으로 인한 피해 발생 시 손해배상 청구 필요

[보안뉴스 민세아] 지난 3월 11일 본지에서 보도한 ‘[긴급] 국내 싱크탱크 겨냥한 워터링홀 공격 발생’ 기사처럼 국내 웹사이트가 악성코드 유포·경유지로 악용되는 경우가 비일비재하게 발생한다. 이렇게 악성코드를 유포하는 웹사이트는 인터넷 사용자들에게 악성코드 유포라는 1차적 피해뿐만 아니라 개인정보 유출 등 2차 피해까지 발생시킬 수 있어 신속한 대처가 관건이다.


문제가 되는 웹사이트는 악성코드 경유지와 유포지로 나뉘는데, 경유지는 말 그대로 악성코드를 유포하기 위해 거치는 중간 단계를 말하며, 웹사이트에 유포지로 향하는 악성 스크립트를 삽입해 놓고 웹사이트에 접속하는 사용자 중 취약점을 가지고 있는 사용자들에게 자동으로 악성코드를 다운로드 받게 한다.

국내 웹사이트의 경우 한국인터넷진흥원(이하 KISA)에서 자체적으로 보유하고 있는 악성코드 탐지 패턴을 이용해 악성코드를 유포·경유하는 웹사이트를 탐지한다. 이렇게 악성코드를 탐지하면 KISA는 해당 웹사이트 운영자에게 감염 사실을 통보하고 신속한 조치를 권고한다. 원할 경우 기술지원까지도 가능하다.

그러나 문제는 감염 사실을 알리기 어렵거나 감염 사실을 알려도 조치를 취하지 않는 웹사이트다.

KISA 침해탐지팀 이상헌 팀장은 “일정 규모의 웹사이트들은 악성코드 감염 사실을 알려주면 대부분 조치하지만 영세한 기업 웹사이트의 경우 잘 조치하려 하지 않거나 어떻게 조치해야 할지 모르는 경우가 많다. 이런 경우 ISP에 연락하거나 호스팅 업체를 통해 조치할 수 있도록 하고 있다”고 전했다.

지난해 4월 17일 미래창조과학부에서 열린 ICT정책 해우소에서도 악성코드 유포경로로 지속적으로 악용되는 웹사이트에 대해 강력하게 대응해야 한다는 목소리가 나온 바 있지만, 영세 웹사이트 운영자들은 실질적인 피해가 없다는 생각에 조치에 소극적인 입장을 띄고 있다.

현재 정보통신망법에 의해 주요정보통신사업자 등 일정 규모 이상의 사업자는 보안조치를 취하도록 규정하고 있다. 그러나 개인 사업자 등 영세한 웹사이트의 경우, 법적으로 강제할 수 있는 규제가 없다. 가해자인 동시에 피해자이기 때문이다. 이상헌 팀장은 “어느 정도 규모가 있는 웹사이트들은 브랜드를 생각해 신속하게 조치를 취하지만 몇몇 영세한 기업은 어떤 조치를 취해야 하는지 모르고 관심도 없는 경우가 태반”이라고 아쉬워한다.

이에 고려대학교 사이버국방학과 이상진 교수는 “영세한 사업자들이 보호 조치를 취하기 위한 규제가 필요하다. 그러나 보안수준을 갖추는 데에 경제적인 부담이 발생할 수 있기 때문에 정부에서 무료 점검을 해주는 공익사업을 했으면 한다. 혹은 보안을 연구하는 학생들이 봉사활동 식으로 점검을 해주는 것도 좋은 방법 중 하나다. 화이트해커를 꿈꾸는 학생들이 합법적으로 활동할 공간이 될 수 있기 때문에 서로 윈윈하는 결과를 가져올 수 있다”고 전했다.

또한, 이 교수는 “해당 웹사이트 사업자가 이러한 서비스마저 거부한다면 악성코드 감염 웹사이트에 방문한 사용자에게 발생한 피해에 대해 손해배상을 청구할 수 있도록 하고, 해당 웹사이트가 보안 강화를 위해 노력했다면 어느 정도 배상액을 경감시켜 주는 등의 절차가 필요할 것”이라는 입장을 전했다.

마지막으로 KISA 이상헌 팀장은 “기업들이 해킹 사고를 당했을 때 KISA에 적극적으로 기술지원을 요청하고, 최소한의 정보보호 솔루션 구축에 관심을 가지길 바란다. 해킹 당하는 순간에는 피해자 입장이지만 악성코드가 심어지는 순간 악성코드를 전달하는 매개체로서 가해자가 되기 때문이다. 이런 일에 당하지 않도록 기본적인 정보보호 솔루션 구축과 설치된 애플리케이션의 보안 패치에 신경써줬으면 좋겠다”고 당부했다.
[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>