#.지난해 LS네트웍스는 필리핀 출신 전문 해커에게 자사 ‘스케쳐스’ 브랜드 홍보사이트를 공격받았다. LS네트웍스 스케쳐스 사업본부 측은 “온라인에서 제품을 판매하지 않는 이벤트성 홍보 사이트는 정보통신망법에 적용되지 않는 것으로 잘못 알아서 회원 DB를 암호화하지 않았다”고 말했다.
#.지난 2009년 보안업체 잉카인터넷은 루마니아 해커 ‘우노’에게 자사의 엔프로텍트 사이트를 해킹당했다. 해커는 SQL 인젝션(SQL injection) 공격으로 엔프로텍트 사이트에서 수 백만개 고객 비밀번호와 제품 시리얼 넘버를 해킹했다. 해킹당한 엔프로텍트 사이트는 잉카인터넷이 개인용 고객의 불만사항 등을 접수하기 위한 이벤트 사이트였다.
이벤트 사이트가 위험하다.
최근 한국전자금융 홈페이지 해킹으로 8000여명의 입사지원자 개인정보가 유출되는 사고가 발생한 것처럼 대다수 기업과 기관이 단기간 운영하는 채용 공고나 경품 프로모션 같은 이벤트 사이트의 보안을 방치하고 있는 것으로 드러났다.
이벤트 사이트의 보안이 취약하면 SQL 인젝션 공격 등으로 DB 정보를 긁어가거나 이벤트 사이트를 경유해 내부 주요 서버 DB까지 침입이 가능, 심각한 사태를 불러올 수도 있다.
또 이벤트 사이트는 아웃소싱 업체에 하청을 주는 경우도 많아 더욱 보안에 취약하다. 영세 하청업체가 보안 지침에 따라 사이트를 개발하긴 어렵기 때문이다.
실제 모의해킹을 주로 담당하는 해커 P씨는 “정상적인 사이트보다 기업들이 단기간 운영하는 이벤트 사이트에서 주로 취약성을 찾는다”며 “이벤트 사이트는 방화벽, 침입방지장비(IPS), 침입탐지장비(IDS) 등 보안 시스템 밖에 두거나 시큐어코딩 없이 급하게 만들어 보안에 취약한 편”이라고 말했다.
오경수 롯데정보통신 사장은 “이벤트나 단기 포로모션 등을 사업부 단위로 국한하다 보니 보안을 검토할 여유가 없다”며 “보안 가이드라인을 준수하며 목적에 맞는 사이트를 만들어야 보안을 유지할 수 있다”고 말했다. 오 사장은 또 “프로그램 코딩부터 사후관리까지 전체를 총괄하는 최고보안책임자(CSO) 등도 반드시 필요하다”고 덧붙혔다.
장윤정기자 linda@etnews.co.kr