무차별 공격하는 웹해킹, 해법없다?

웹해킹 5월에만 1195건… 공격수법 날로 과감한데 지원책은 '게걸음'

웹사이트를 무차별 해킹한뒤 방문자를 상대로 악성코드를 유포하는 대규모 웹해킹이 연일 이어지고 있어, 국가 차원의 대책마련이 시급하다.

8일 한국정보보호진흥원(KISA)에 따르면, 지난달 1195개 국내 웹사이트가 해킹돼 악성코드 유포지로 악용당한 것으로 집계됐다. 실제 지난달 27일에도 국내 공공기관, 대학, 중소쇼핑몰 등 수백여개 웹사이트 7300여개 웹페이지에서 악성코드가 유포되는 사건이 발생했다.

웹사이트 악성코드 유포사고가 급증하기 시작한 것은 지난 3월부터. 지난 2월 313건 수준이던 KISA의 악성코드 유포지 사고처리 건수는 3월에 835건로 증가한데 이어, 4월 841건으로 150% 가량 급증했다. 5월에는 4월에 비해 또다시 42.1% 증가했다.

KISA는 "웹사이트의 데이터베이스(DB) 취약점을 노린 SQL-인젝션 공격이 대규모 발생하고 있기 때문"이라고 설명했다. SQL 인젝션 공격은 홈페이지에 악성코드 링크를 몰래 숨겨놓고 웹사이트 방문자들을 감염시키는 것이다. 그러나 이 공격은 자칫 내부 DB까지 통채로 유출시킬 수 있다는 점에서 매우 위험하다.

◇막강해진 웹해킹

문제는 해커들의 공격수법이 보다 과감해지고 있다는 점이다. 프로그램에 도메인을 입력하면 웹사이트의 SQL 인젝션 취약점을 찾아내 자동으로 공격해주는 자동 해킹 프로그램은 이미 일반화된 지 오래다.

최근에는 구글 검색엔진과 결합된 자동 해킹 툴로 발전하면서 막강한 위력을 발휘하고 있다. 안철수연구소에 따르면, 중국에서 개발된 것으로 추정되는 이 프로그램은 구글 검색엔진을 이용해 SQL 인젝션에 취약한 사이트들을 한꺼번에 찾아준다.

과거에는 자동 해킹 프로그램을 사용하더라도 일일이 공격 타깃을 찾아내야 했지만, 이제는 이 과정 자체가 아예 자동화된 셈이다. 최근 웹 해킹사고 규모가 대형화될 수밖에 없는 이유다.

여기에 이용자 PC에 악성코드를 감염시키는 수법도 더 정교해지고 있다. 과거에는 주로 MS 윈도 취약점을 이용했지만, 최근에는 리얼플레이어, 어도비 플래시 등 개별 SW의 취약점들을 모두 동원하고 있다.

과거처럼 MS 보안패치만 제대로 받기만 해도 웹서핑시 떨어지는 악성코드는 대부분 막을 수 있었지만, 이제는 이것만으로는 결코 안전할 수 없다는 얘기다.

◇웹보안 강화대책 서둘러야

이같은 대규모 웹해킹 공격은 악성코드 유포를 통한 개인정보 유출과 직결됐다는 점에서 근본적인 대책을 서둘러야 한다는 목소리가 높다.

그러나 사실 웹해킹과 악성코드 유포 공격이 결합되면서 해결책을 찾기란 더욱 녹록치않다.

해킹피해를 당해 악성코드가 유포되는 상당수 사이트가 민간기업들이다보니 일일이 해킹피해 사실을 고지한다는 것 자체도 어렵다.

설령, 해킹 피해사실을 알려줘도 웹방화벽을 설치하거나 홈페이지 코드를 수정하지 않은 채 단순히 악성코드 링크만 빼버리는 식의 임시처방에 그치고 있어, 또다시 해킹사고가 재발하는 경우가 상당수에 달한다는 것이 한국정보보호진흥원(KISA)측의 하소연이다.

이런 상황이다보니 정부의 대책이라는 것이 해킹당한 웹사이트에서 유포되는 악성코드의 숙주서버를 찾아내 IP를 차단하는 것이 고작이다.

그러나 이는 악성코드가 유포된 이후의 사후조치에 불과한데다, 해커들이 이를 피하기 위해 숙주서버를 자주 바꿔가며 공격하는 현실을 감안하면, '땜질식' 처방에 불과하다는 지적이다.

전문가들은 이미 웹사이트 해킹피해가 사이트 회원은 물론 사이트 방문자들의 개인정보 유출과 직결되는만큼 기업들의 웹사이트 보안을 의무화할 필요가 있다고 지적한다.

가령 웹사이트 웹 해킹으로 악성코드가 유포됐을 경우, 이에 대한 법적 책임을 묻도록 해야한다는 것. 물론 100% 완벽한 보안이 없는만큼 관련 보안솔루션 도입 등 노력한 업체에 대해서는 법적 책임에 대한 경감 혹은 면책해주는 보완대책이 전제돼야한다는 주장이다.

일각에선 보안조치가 소홀해 여러차례 뚫려 악성코드가 유포된 사이트들에 대해선 정부가 적극적으로 이를 공개해 이용자들의 피해를 최소화해야한다는 주장마저 제기되고 있다.

업계의 한 보안 전문가는 "현재 전방위적으로 이어지고 있는 대규모 융단폭격식 웹해킹 사태를 더 이상 방치할 경우, 제2의 인터넷 대란으로 번질 수 있는 사안"이라고 경고한 뒤 "기업들도 한순간의 방심이 자칫 대규모 집단소송으로 비화될 수 있다는 점에서 스스로 보안조치에 만전을 다해야될 것"이라고 지적했다.