'웹'이 해킹 도구로 악용되고 있다. 누구에게나 열린 공간인 웹이 누구나 쉽게 악성코드에 감염될 수 있는 공간으로 탈바꿈하고 있는 형국인 것.
특히 국내 대다수 웹사이트는 해킹을 차단하기 위한 별도 보안장치를 두지 않아 초보적인 해킹 기법에도 속수무책인 것으로 나타났다.
한국정보보호진흥원(KISA)이 최근 발표한 인터넷침해사고동향에 따르면, 5월 한달간 총 281개 사이트(도메인)가 해킹으로 인한 홈페이지 변조 피해를 입은 것으로 조사됐다. 이는 지난 4월 홈페이지 변조 피해 건수인 85건을 훌쩍 넘는 수치로 전월 대비 230%나 증가한 것이다.
특히 5월에는 보안이 취약한 낮은 버전의 국내 무료 웹 게시판 소프트웨어(제로보드) 사용으로 인한 피해만 146건이 발생하는 등 홈페이지 변조 대응책 마련이 시급한 상황이다.
KISA 해킹대응팀 최중섭 팀장은 "보안이 취약한 홈페이지는 악성코드 은닉, 개인정보유출 등 추가 침해사고를 유발할 수 있다'며 '낮은 버전의 무료 웹 게시판 소프트웨어를 사용하는 업체(기관)의 홈페이지 관리자는 웹방화벽 등 보안솔루션을 구축하고, 서버 보안에 최선을 다해야 한다'고 설명했다.
◆인터넷 홈페이지…악성코드 전파 매개지
웹사이트 보안이 취약하다 보니 인터넷 홈페이지를 악성코드 전파 매개지로 악용하는 사례도 늘고 있다. 사이트 관리자가 감염 여부조차 모르고, 방치해두는 경우가 많아 인터넷 사용자가 사이트 방문만으로 악성코드에 감염되는 처지에 놓인 것.
특히 해커는 일반 이용자의 접속이 많은 기업 사이트를 주로 악성코드 유포·경유사이트로 악용하고 있어 문제는 더 심각하다.
지난 5월 KISA가 자체 개발한 악성코드 은닉사이트 자동탐지시스템을 통해 탐지·대응한 악성코드 유포·경유 사이트만 1천195건에 달한다.
보안전문가들은 악성코드 유포·경유 사이트 급증 원인을 'SQL 인젝션' 공격으로 인해 피해를 입은 웹서버가 많기 때문인 것으로 분석하고 있다.
SQL 인젝션 공격은 웹페이지에서 사용자 로그인 창에 특수문자 등을 포함한 SQL문장의 일부 내용을 넣어, 마치 정당한 사용자인 것처럼 위장해 데이터베이스(DB)의 정보를 빼내는 해킹 수법.
지난 4월에는 SQL 인젝션 공격이 전 세계를 강타했다. UN, 영국정부 등 50만여개의 해외 웹사이트가 대규모 SQL 인젝션 공격을 통해 악성코드 유포에 악용된 것. 국내에서도 어도비 플래시 플레이어 취약점을 공격하는 악성코드가 은닉된 플래쉬 파일이 발견되기도 했다.
문제는 SQL 인젝션 공격을 당한 기업이 뚜렷한 보안 대책을 마련하고 있지 않다는 데 있다. 피해 기업의 웹서버 관리자는 SQL 인젝션 공격이 발생하면 별다른 원인분석 없이 해당 악성코드를 찾아 삭제하고, 후속 보안 조치를 취하지 않는 경우가 태반이다.
잉카인터넷 시큐리티대응센터는 "악성코드를 삭제하는 것은 임시방편일 뿐 근본적인 대책이 될 수 없다"며 "웹서버 해킹에 주로 사용되는 SQL 인젝션, 파일 업로드 취약점에 대한 보안 대책 마련에 적극 나서야 한다"고 강조했다. 웹방화벽 등 보안 솔루션을 갖춰 웹 애플리케이션의 취약점을 막아야 한다는 지적이다.
보안업계 관계자는 '최근 발생하는 SQL 인젝션 공격 유형의 경우 시중에 나와있는 웹방화벽 제품을 통해 80~90% 정도 방어할 수 있다"고 말했다.
◆SQL 인젝션 공격, 웹방화벽으로 차단
최근 웹해킹 사고가 빈발하면서 보안업체들이 앞다퉈 웹방화벽 제품을 내놓으며, 시장 선점에 나서고 있다. 전세계적으로 유례가 없을 만큼 국내 웹방화벽 시장은 초기과열 현상마저 보이고 있다. 공공기관뿐만 아니라 민간 시장까지 수요가 열릴 것이라는 기대감이 고조되고 있다.
하지만 실상은 장밋빛 전망과는 차원이 다르다. 엄청난 회원수를 자랑하는 인터넷사이트는 물론 공공기관의 경우 여전히 도입을 망설이고 있기 때문. 특히 자금규모가 영세한 업체들의 경우 사정은 더 열악하다.
정보보호산업협회(KISIA)가 지난해 130여개 업체를 대상으로 정보보호제품 사용 현황을 조사한 결과 웹방화벽을 도입했다고 응답한 사용자는 전체의 18.3%에 불과했다. 보안을 위한 기본 제품으로 알려진 방화벽, 침입방지시스템(IPS)에 비해 현저히 떨어지는 보급률을 보이고 있는 것.
이들 업체가 도입을 꺼려하는 이유는 "투자 여력이 없어서"다. 보안업계 관계자는 '웹방화벽의 존재 자체를 모르거나, 알고 있더라도 설치 등 직접적으로 관심을 보이는 업체가 많지 않은 상황"이라고 꼬집었다.
KISA가 보안 강화를 위해 무료 공개 웹방화벽 보급에 나섰지만, 이마저 모르는 기업이 대다수다. 2006년부터 KISA는 투자 여력 부족으로 웹보안 장비를 구입하지 못한 중소기업을 위해 공개 웹방화벽 설치를 지원하고 있다.
하지만 지난해 KISA 사이트를 통해 공개 웹방화벽을 내려 받은 횟수는 5천여건 미만. 올해 1분기 설치수는 총 750건에 불과하다. 전체 웹사이트 수를 감안하면, 보급률이 현저히 떨어지는 셈.
KISA 대응지원팀 허창열 팀장은 "공개 웹방화벽의 경우 세밀한 기능을 포함하고 있지는 않지만 홈페이지 변조·SQL 인젝션 등 기본적인 웹해킹은 충분히 막을 수 있는 수준"이라며 "중소기업의 보안 대책에 일조할 것으로 기대하고 있다"고 전했다.
◆확산되는 DDoS 공격…전용 장비 도입해야
악성봇의 증가도 인터넷 보안을 크게 위협하고 있다. 악성봇에 감염된 PC가 특정 사이트를 대상으로 한 분산서비스거부(DDoS) 공격에 악용되고 있어 대책 마련이 시급하다.
국정원 사이버안전센터는 "개인사용자가 인터넷에서 무심코 내려받는 동영상, 이미지파일, 무료 소프트웨어 프로그램에 악성 봇이 숨겨져 있어, 감염되는 사례가 늘고 있다"고 경고했다.
봇(Bot)은 운영체제의 취약점, 웜·바이러스의 백도어 등을 이용해 전파되는 프로그램이나 실행코드. 명령 전달 사이트와 백도어 연결 등을 통해 스팸메일 전송이나 DDoS 공격에 악용되고 있다. 봇에 PC가 감염될 경우 자신도 모르는 사이에 특정 사이트를 대상으로 DDoS 공격을 하는 가해자가 될 수 있다.
DoS 공격은 특정 네트워크에서 허용하는 대역폭을 모두 감소시키거나 공격대상 시스템의 자원(메모리, CPU)을 고갈시켜 서비스를 못하도록 하는 것. 쉽게 말해 한꺼번에 대량의 정보를 보내 해당 시스템을 다운시키는 방법이다.
최근에는 DoS용 에이전트를 여러 개의 시스템에 설치하고, 에이전트를 제어해 공격자에 대한 추적을 불가능하게 하는 수법이 동원되고 있다. DDoS 공격은 그 수법이 단순하지만, 안티 DDoS 전용 장비를 설치하지 않을 경우, 속수무책으로 당할 수밖에 없다.
아이템거래사이트, P2P사이트 등을 대상으로 무차별 DDoS 공격이 시도된 것도 바로 이 때문. 특히 공격 중지를 대가로 피해 업체에 금전을 요구하고 있어, 해당 업체는 서비스 중지로 인한 금전적 손실은 물론 협박 등 이중고를 겪고 있는 실정이다.
중국발 DDoS 공격에 국내 홈페이지가 초토화되자 보안업계도 DDoS 전용 장비를 속속 출시했다. 시스코, 라드웨어 등 외산 업체뿐만 아니라 LG CNS, 나우콤 등 국내 업체가 DDoS 공격 방지 전용 솔루션을 선보인 것,
LG CNS 솔루션사업본부 박계현 부사장은 "그 동안 아이템거래·P2P 사이트에 집중됐던 DDoS 공격이 최근 웹하드, 쇼핑몰, 금융권 홈페이지 등 일반 사이트로 확산되는 추세"라며 "인터넷프로토콜TV(IPTV), 인터넷전화(VoIP) 등 IP기반 서비스가 확산되면서 금융권과 통신업계를 중심으로 DDoS 전용 방어 솔루션에 대한 수요가 늘고 있다"고 말했다.
KISA 상황관제팀 노명선 팀장은 "DDoS 공격을 최소화하기 위해서는 ISP·IDC 사업자를 비롯해 개인PC사용자·서버관리자 등이 보안을 강화해야 한다"며 "IDC 등은 DDoS 전용 장비를 도입하고, 일반사용자는 보안에 취약한 PC가 DDoS 공격에 악용되고 있는 사례가 많으므로 개인 PC보안에 만전을 기해야 한다"고 강조했다.
서소정기자 ssj6@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기