홈페이지의 허점을 이용해 우회적으로 공격하는 웹 해킹이 기승을 부리고 있다. 웹 해킹은 기존에 설치돼 있는 보안솔루션이 이를 정상적인 홈페이지 접속으로 인식하는 경우가 많아 효과적인 차단이 어렵다. 이를 반영하듯 최근 웹 해킹 사고가 빈번히 나타나고 있으며 이에 대책이 마련되지 않을 경우 피해가 속출할 것이란 관측이다.
◇보안솔루션으로 ‘웹 해킹’ 차단 어렵다=웹 해킹은 홈페이지를 통해 제공되는 웹서비스에 접속한 후 데이터베이스 등 각종 시스템에 접근하는 방식을 취한다. 데이터베이스에 곧바로 들어가려는 직접적인 해킹과 달리 우회로를 이용하는 점이 다르다.
공공기관이나 기업에서 제공하는 각종 웹서비스는 대개 내부 시스템과 분리된 별도의 웹서버를 통해 이뤄지는데 웹서버가 다른 서버와 네트워크로 연결돼 있기 때문에 해커가 웹서비스의 취약점을 파악해 웹서버에 접근한 후 우회적으로 내부 시스템에 침입한다.
웹 해킹의 가장 큰 문제는 기존 보안솔루션으로 이를 효과적으로 차단하기 어렵다는 것이다. 방화벽 등 보안솔루션이 웹 해킹 시도를 정상적인 접근으로 받아들이기 때문이다.
외부와 연결된 시스템의 통로(포트)는 여러가지가 있는데 웹서비스를 제공하기 위해 사용되는 80포트는 24시간 서비스를 제공하기 위해 언제나 열려 있다. 이를 통해 해커가 정상적인 이용자인 것처럼 접근하면 기존 보안솔루션은 눈치채지 못한다. 마치 내부 직원의 출입카드를 훔쳐 인식장치로 통제돼 있는 건물로 들어가 각종 기밀을 훔치는 것과 마찬가지다.
예를 들어 대표적인 웹서비스인 포털사이트의 경우 아이디나 비밀번호 등 이용자 개인정보가 웹서버에 들어 있다면 웹 해킹에 의해 바로 이 정보가 유출된다. 금융권의 경우 만일 웹 해킹에 의해 시스템이 뚫리면 개인정보 유출에 의해 금전적 손실발생을 배제할 수 없다. 시스템의 주요 정보가 보안솔루션으로 보호되고 있을 경우는 쉽지 않지만 그렇지 않을 경우 초보 해커라도 손쉽게 정보를 빼낼 수 있다.
◇웹서비스 보안점검 시급하다=최근들어 웹 해킹 사고가 급증하고 있는 것은 웹 해킹의 원천봉쇄가 그만큼 어렵다는 점을 방증한다. 지난달 21일 인터넷쇼핑몰의 텔레마케팅 대행업체 직원들이 해당 쇼핑몰에 웹 해킹 기법으로 들어가 6500여명의 신용카드번호와 비밀번호를 알아낸 후 이를 이용해 6800만원 상당의 사이버머니를 구입, 반값에 되판 사건이 일어났다. 고객 신용정보가 암호화돼있지 않은 쇼핑몰의 홈페이지 관리자화면 경로를 파악해 개인정보를 빼낸 것이다.
또 이달 14일 발생한 결혼정보업체 회원 30여만명의 개인정보 유출사건이나 15일 홈페이지제작 강사가 상품권 판매업체의 홈페이지를 해킹해 3억원 상당의 인터넷 상품권을 빼낸 사건도 웹 해킹 기법을 이용한 것으로 드러났다.
보안업계에서는 이밖에도 최근 유명 포털사이트나 금융권에서 발생한 해킹사건 역시 웹 해킹과 연관돼 있을 것으로 추정하고 있다.
정보보호 전문업체인 에스티지시큐리티의 문재철 사장은 “작년부터 포털서비스를 비롯한 20여개 기업의 웹서비스 취약성을 진단한 결과 조사 대상의 대부분이 이미 해킹을 당했거나 해킹 경로로 이용될 수 있는 백도어가 있는 것으로 나타났다”며 “최근 웹 해킹이 주류를 이루고 있어 이제부터라도 관련분야에 대한 보안에 신경을 써야 한다”고 지적했다.
이의 대책으로는 웹서비스에 사용되는 홈페이지를 만들 때부터 보안설계를 하고 웹 해킹 방지 솔루션을 설치하는 방안이 있다.
전문가들은 “이미 운영하고 있는 웹서비스의 취약점을 검사하고 그 위험에 대비하기 위해 새로운 취약점 점검과 보안컨설팅 방법론을 도입할 것”을 조언하고 있다.
<장동준기자 djjang@etnews.co.kr>
관련 통계자료 다운로드 월별 해킹 추이