오픈된 게시판 사이트, 치명적 보안 결함 상존

자료의 업로드와 다운로드가 자유로운 게시판을 운영하는 사이트에는 특정 악성 코드 등을 이용한 해킹 위협이 상존하는 것으로 드러나 서버 관리자들의 주의가 요구되고 있다.

인터넷 보안업체인 시큐어뉴스(대표 김원식 http://www.securenews.co.kr)는 일반에게 오픈된 서비스 사이트의 경우 해커가 사이트 게시판에 특정 코드를 올려 실행할 경우 서버 운영자의 권한을 획득할 수 있어 자료 열람·삭제는 물론 시스템 전체를 파괴할 수 있는 치명적인 피해를 입힐 수 있다고 12일 밝혔다.

이번에 밝혀진 해킹원리는 접속자가 파일을 업로드할 때 서버용 실행 파일인 악성 ASP(Active Server Page)파일을 올린 후 이를 다운로드할 때 서버가 해당 시스템 내부 명령어를 실행함으로써 공격자가 쉽게 원격에서 해당 시스템을 장악하는 방식이다.

시큐어뉴스 김원식 사장은 『최근 이 악성 코드들이 인터넷을 통해 유포되기 시작했는데 문제는 초보자들도 이를 이용해 쉽게 해킹할 수 있도록 만들어진 점』이라고 지적하고 『인터넷 서비스업체뿐 아니라 공공기관·금융기관·쇼핑몰 등 자료를 업로드할 수 있는 사이트는 대부분 이 취약성에 노출돼 있다』고 강조했다.

업계의 한 전문가는 『이같은 보안 결함은 해당 인터넷 사이트 관리자들이 ASP파일 등이 실행되지 않도록 해당 서버의 설정을 조정하거나 웹서버와 DB서버를 분리 운영하면 기본적인 해결이 가능하다』고 설명했다.<주문정기자 mjjoo@etnews.co.kr>