웹사이트, 기업 보안의 '아킬레스건'

IBM '연례 보안보고서'서 지적...보안취약점 중 '웹' 분야가 절반

웹사이트가 기업 IT보안의 최대 아킬레스건으로 작용하고 있다.

5일 한국IBM이 발표한 '2008 보안위협 연례보고서'에 따르면, 최근 사이버범죄자들이 이용자들의 공격 거점으로 기업 웹사이트를 악용하고 있는 것으로 조사됐다.

사이버 범죄자들은 이용자들의 PC를 감염시키기 위해 웹 프로그램 공격에 집중하고 있는데 반해, 기업들은 결함이 많은 패키지 프로그램이나 심지어 보안 취약점 패치가 불가능한 맞춤형 프로그램을 사용하고 있기 때문이다.

실제 지난해 발견된 웹 프로그램 취약점은 전체 보안취약점의 절반 이상을 차지했으며, 이중 74% 이상이 보안패치가 제공되지 않았다는 것이 IBM측의 설명이다.

이와 관련, 지난해 말 웹 프로그램 취약점을 이용한 대규모 자동화 SQL 인젝션 공격 건수가 상반기에 비해 30배 가량 증가한 것으로 나타났다.

IBM 보안연구소 크리스램 수석 운영관리자는 "웹 프로그램을 이용한 자동화된 공격 목표는 네티즌들을 속여 그들의 웹브라우저에 해킹 바이러스를 심는데 있다"며 "사이버 범죄자들이 기업 웹사이트를 목표로 하는 이유는 웹사이트를 방문한 모든 네티즌들을 쉽게 공격할 수 있기 때문"이라고 설명했다.

IBM 보안연구소는 또 지난해 4분기 악성코드가 숨겨진 악성 인터넷주소(URL) 수가 2007년 한 해 동안 발견된 수보다 50% 가량 증가했다고 밝혔다. 아울러 스패머들도 더 많은 스팸메일을 발송하기 위해 잘 알려진 웹사이트를 활용하고 있다고 덧붙였다.

한편, 이 보고서에 따르면, 지난해 전체 악성 프로그램 중 46%가 온라인 게임과 인터넷뱅킹 사용자들을 겨냥한 트로이목마로, 이들 특정 사용자 집단을 겨냥한 공격이 지속될 것으로 내다봤다.