웹사이트나 네트워크상에서 패스워드를 찾아내 알려주는 해킹툴(패스워드 크래킹툴)이 인터넷상에 무더기로 나돌고 있어 웹서버를 갖고 서비스하는 인터넷업체 및 홈페이지를 운영하는 기업체·기관들의 보안대책 마련이 시급한 것으로 나타났다. 더구나 이들 해킹툴은 인터넷을 사용하는 사람이면 누구나 웹검색 사이트나 해킹관련 사이트를 통해 구할 수 있을 뿐 아니라 해킹에 대한 기본적인 상식만 갖고 있으면 인터넷 사이트를 해킹할 수 있어 충격을 주고 있다.
◇피해사례 =최근 K씨가 회원들간 폐쇄사이트로 운영되고 있는 D사 통신 홈페이지를 공격하기 위해 인터넷 해킹 사이트에서 웹크랙·골든아이 등 해킹툴을 내려받아 관리자의 비밀번호를 알아내 게시판에 불법으로 접근하는가 하면 다수의 ID를 확보해 시스템의 정상적인 작동을 방해하다가 사이버테러대응센터 수사관에 검거되는 사례가 발생하는 등 유력 인터넷 서비스 사이트에서도 패스워드 해킹을 통한 개인정보 유출 및 피해 사례가 빈발하고 있는 것으로 드러났다.
◇패스워드 크래킹툴이란 =일반적으로 웹상에서 패스워드를 알아내는 데 사용하는 패스워드 크래킹툴은 웹크랙 외에도 웹헤크·레벌래이션·크랙잭 등 헤아릴 수 없을 만큼 많다. 이들 해킹툴은 웹상에서 각종 단어조합을 통해 패스워드를 맞추는 것으로 1초 동안 수십∼수백회의 패스워드가 입력되기 때문에 ID만 알면 짧은 시간내에 패스워드를 알아낼 수 있다.
◇대책은 없나 =보안 전문가들은 『일반사용자의 경우 패스워드를 만들 때 쉽게 만들지 말아야 하고 패스워드를 자주 교체해야 하며 웹 관리자들도 인증창을 만들 때 일반 사용자의 패스워드가 틀렸을 경우 바로 인증창이 뜨게 하지 않고 1초 정도의 지연시간을 둬야 한다』고 지적한다.
또한 인터넷 사이트 운영자는 방화벽·침입탐지시스템(IDS) 등 네트워크 보안 솔루션에만 의존하기보다는 각종 데이터가 있는 서버 차원의 시스템 보안을 강화해야 한다.
◇처벌규정 =개인정보 유출이나 타인의 정보 훼손, 개인정보 부정사용에 따른 처벌 규정은 각종 법률로 정해져 있다. 타인의 정보를 훼손하거나 비밀을 침해할 경우에는 정보통신망이용촉진 등에 관한 법률 제22조와 제28조에 의거해 징역 5년, 5000만원 이하의 형량이 적용된다. 또한 ID·패스워드를 유출하는 등 전산망 보호조치를 침해할 경우 최고 3년 이하의 징역과 3000만원 이하의 벌금이 부과된다. 서비스제공자의 개인정보를 부정사용할 경우에도 1년 이하의 징역과 1000만원 이하의 벌금이 부과된다. 이밖에도 컴퓨터프로그램보호법 및 각종 법에 따른 처벌 규정이 마련돼 있다.
<주문정기자 mjjoo@etnews.co.kr>