자료의 업로드와 다운로드가 자유로운 게시판을 운영하는 사이트에는 특정 악성 코드 등을 이용한 해킹 위협이 상존하는 것으로 드러나 서버 관리자들의 주의가 요구되고 있다.
인터넷 보안업체인 시큐어뉴스(대표 김원식 http://www.securenews.co.kr)는 일반에게 오픈된 서비스 사이트의 경우 해커가 사이트 게시판에 특정 코드를 올려 실행할 경우 서버 운영자의 권한을 획득할 수 있어 자료 열람·삭제는 물론 시스템 전체를 파괴할 수 있는 치명적인 피해를 입힐 수 있다고 12일 밝혔다.
이번에 밝혀진 해킹원리는 접속자가 파일을 업로드할 때 서버용 실행 파일인 악성 ASP(Active Server Page)파일을 올린 후 이를 다운로드할 때 서버가 해당 시스템 내부 명령어를 실행함으로써 공격자가 쉽게 원격에서 해당 시스템을 장악하는 방식이다.
시큐어뉴스 김원식 사장은 『최근 이 악성 코드들이 인터넷을 통해 유포되기 시작했는데 문제는 초보자들도 이를 이용해 쉽게 해킹할 수 있도록 만들어진 점』이라고 지적하고 『인터넷 서비스업체뿐 아니라 공공기관·금융기관·쇼핑몰 등 자료를 업로드할 수 있는 사이트는 대부분 이 취약성에 노출돼 있다』고 강조했다.
업계의 한 전문가는 『이같은 보안 결함은 해당 인터넷 사이트 관리자들이 ASP파일 등이 실행되지 않도록 해당 서버의 설정을 조정하거나 웹서버와 DB서버를 분리 운영하면 기본적인 해결이 가능하다』고 설명했다.<주문정기자 mjjoo@etnews.co.kr>