전문가 “호스팅 서비스 계약시 보안관련 책임소재 명확히 할 것”

인터넷 업체들이 호스팅 업체와 계약단계에서 호스팅업체가 제공하는 여러 단계의 보안서비스를 면밀히 검토하고 자사에 맞는 보안서비스를 선택해 계약해야 하겠다.

모 호스팅 전문 업체 관계자는 “호스팅 업체에서는 여러 레벨의 보안서비스를 제공하고 있다. 하지만 고객사에서 월비용 문제로 보안서비스를 거부하는 경우가 많다”며 “비용이 다소 추가되더라도 세부적인 보안컨설팅을 받은 후 적합한 보안서비스 옵션을 선택해 서비스를 이용하는 것이 안전하다”고 강조했다.

14일 호스팅 전문업체 가비아에서 서버호스팅 서비스 받던 맥스웨딩측은 “지난 3월 16일 새벽에 홈페이지가 해킹당해 서버가 다운됐다”며 “이로인해 중요한 컨텐츠 내용들이 삭제돼 정상적인 서비스가 어렵게 됐다. 현재 다시 웹사이트를 구축해야할 상황이다. 손실부분에 대해 가비아측에 손해배상을 청구할 것”이라고 밝혔다.

이에 가비아측은 “맥스웨딩측과 서비스 계약한 부분에 대해서는 충실히 이행한 상태였다. 해킹문제는 맥스웨딩 사이트의 웹취약점을 이용한 SQL인젝션 공격으로 가비아의 방화벽이나 호스팅 서비스의 문제 때문에 발생한 것이 아니다”라고 주장해 양사의 주장이 첨예하게 대립되고 있는 상황이다.

모 보안 전문가는 “SQL인젝션 공격일 경우 웹방화벽 서비스를 받고 있었다 할지라도 이를 감지해 내지 못한다”며 “웹사이트 구축시 발생한 보안취약점으로 인해 발생한 문제이기 때문에 웹 취약점 컨설팅을 받아 취약점을 제거하는 것이 중요하다”고 말했다.

한편 가비아측은 “맥스웨딩은 가비아에서 웹방화벽 서비스가 아닌 포트 보안만 서비스 받는 것으로 계약이 돼 있었고 일반 방화벽 서비스를 제공받고 있었다”며 “이번 해킹공격이 가비아 서비스의 문제로 발생한 것이라는 주장은 이해할 수 없다”고 반박했다.

한편 맥스웨딩측은 “가비아를 상대로 8875만원의 피해배상액을 청구할 방침”이라고 한다. 또 가비아측은 “원만한 해결을 원했지만 가비아의 책임소재를 벗어난 부분까지 배상을 요구하고 있어 대응할 수밖에 없는 상황”이라고 말한다.

이 사건을 놓고, 업계 전문가는 “웹 호스팅의 경우는 웹에서 발생한 모든 문제를 호스팅 업체가 책임지게 된다. 하지만 서버호스팅의 경우는 고객사가 서버관리 능력이 어느정도 있어야 한다”고 설명했다.

즉 서버호스팅은 서버한대를 단독으로 고객사에 임대하는 것이다. 이때 고객사는 자사가 서버를 관리할 능력이 되는지, 보안에 대해 얼마나 커버할 수 있는지를 객관적으로 판단해야 한다는 것이다.

만약 서버관리나 보안관리 인력과 기술력이 없다면 호스팅 업체와 협의해 보안서비스 옵션과 매니지먼트 서비스 옵션을 선택해 계약을 체결하는 것이 안전하다. 또 데이터가 많다면 충분한 백업용량을 서비스 받는 것이 안전하다고 한다.  

모 정보보호 관계자는 “호스팅 업체에 보안서비스를 받는 것도 중요하지만 원천적으로 웹 사이트 구축시 발생하는 웹 취약점을 제거하는 것이 무엇보다 중요하다”며 “주기적인 웹 사이트 취약점 컨설팅을 받는 것이 최근 SQL인젝션 공격을 예방하는데 도움이 될 것”이라고 조언했다.

또 다른 관계자는 “최근 호스팅 업체들은 웹방화벽 서비스나 최근 급증하고 있는 DDoS공격을 막을 수 있는 보호서비스들을 내놓고 있다. 월 비용만을 생각하며 보안에 투자를 소홀히 하다간 사소한 해킹공격에 사업 자체가 위태로울 수 있다는 보안의식이 먼저 선행돼야 한다”며 “인터넷 업체들은 호스팅 업체와 계약시 보안과 관련해 충분한 사전협의와 책임소재 부분을 완벽히 한 다음 계약을 체결하는 문화가 정착돼야 할 것”이라고 강조했다.   

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>