금융·포털·인터넷 쇼핑몰, 웹·DB 보안 무방비

프리랜서 프로그래머인 이모 씨에게 인터넷 쇼핑몰은 ‘파격세일 할인점’이다. 정가의 1%만 결제하면 원하는 물건을 살 수 있다. 이 씨는 인터넷 쇼핑몰에서 50만원짜리 내비게이션을 5000원에 샀고, 10만원짜리 청소기는 1000원에 구입했다. 1만원으로 표시된 상품 금액을 100원으로 조작한 것이다. 이 씨는 지난해 7월부터 지난달까지 인터넷 쇼핑몰 45곳에 접속해 6만원으로 600만원어치 물건을 샀다.

금융정보를 조작하는 것도 큰 문제가 아니다. 인터넷 브라우저 도구메뉴에서 인터넷 옵션→보안→사용자정의수준→스크립트 사용안함에 체크한 뒤 확인을 누르고 주소창에 금융기관 홈페이지 주소를 입력한 후 뒷부분에 관리자를 뜻하는 ‘adxxx’를 추가 입력하면 관리자 권한으로 접속할 수 있는 곳도 발견된다.

다른 어느 기업보다 높은 수준의 보안정책을 갖추어야 할 금융기관과 대형 포털 사이트, 인터넷 쇼핑몰의 웹·DB 보안 수준은 여전히 무방비나 다름없는 수준이라는 지적이 제기되고 있다.

웹 방화벽 업체인 ㈜이노라임이 21일 ‘귀사의 시스템은 안전하신가요’연 세미나에서 고객정보·기업 내부정보 보안의 중요성에 대해 말하고, DB 보안 취약성으로 인한 피해사례를 들었다.

지난해 말부터 웹 방화벽에 대한 관심이 높아지면서 기업과 공공기관이 웹 방화벽 도입을 서두르고 있지만, DB 보안에 대해서는 여전히 인식이 낮은 현실이다.

금융감독원에 의해 적발된 개인 신용정보 판매업자들은 개인의 직장명과 신용등급을 포함한 DB를 갖고 있다고 광고하고 있으며, 한 업자는 ‘카드사 DB를 판다’는 제목의 글에서 “최소한 10만건의 자료를 갖고 있으며, 건당 10원에 판매한다”고 밝히고 있다.

이는 고객의 DB 보안 취약성으로 인한 정보유출로, 여러 시장조사 전문기관의 조사결과를 보면 해마다 5000만 건 이상의 중요한 정보 가 유출되고 있다. 유명한 신용카드의 서버가 해킹당해 4000만 건 이상의 고객정보 유출된 사건도 발생했다.

이노라임은 이날 세미나에서 웹 방화벽과 접근제어 솔루션인 임퍼바(Imperva)의 ‘시큐어스피어(SecureSphere)’와 애플리케이션의 성능을 모니터링하고 효율화하는 시만텍의 ‘i³’을 소개하며 웹·DB 보안의 중요성을 강조했다.

시큐어스피어는 애플리케이션 데이터 보호 솔루션으로, 공격패턴을 자동 분석, 학습하고, 동일한 공격을 막을 수 있다. DB 단위에서 엔드유저 단말기를 실시간 감시할 수 있으며, ADC(Application Defense Center)를 통해  패치를 자동/수동 업데이트 할 수 있는 기능을 제공한다. 제품을 설치할 때 DB나 애플리케이션, 서버, IP 등이 바뀌어도 다시 세팅할 필요가 없어 사용이 편리하다.

시큐어스피어는 북미와 유럽 등에서 판매되고 있으며, 아시아 지역에서는 우리나라와 일본, 중국, 인도 등에서 판매되고 있다. 금융기관과 정부·공공기관, 통신회사 등에 도입돼 있다.

시만텍의 APM 제품 i³는 WAS와 DB 성능을 연계 분석하며, WAS에서 실행된 자바 체계와 여기서 호출된 SQL을 직접 연계분석하며, 튜닝 할 수 있다. 또한, CPU와 리소스 성능을 예측하고 용량을 산정할 수 있다. 개별 웹 애플리케이션 튜닝과 단일통합 대시보드. WAS 전반의 성능관리, DBMS 전반의 성능관리를 할 수 있다.

i³는 우리나라에서는 신한은행과 국민은행, 농협의 인터넷 뱅킹 등 금융권에서 도입하고 있다.

이노라임의 최재성 부사장은 “기업이 시스템을 구축하면서 각종 전산운영에 필요한 하드웨어와 소프트웨어를 도입하는 것은 필요한 데이터를 만들고 정제하고 관리하기 위한 것”이라며 “상품정보와 생산정보, 판매정보, 협력사 정보, 직원정보, 고객정보 등 기업이 생산·관리하는 데이터는 외부에 유출되지 않도록 보안수준을 높여야 한다”고 말했다.

[김선애 기자(boan1@boannews.co.kr)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>