웹 해킹에 대비하라

　웹 애플리케이션을 통한 해킹이 정보보호업계의 새로운 이슈로 등장하고 있다.

　23일 보안업계에 따르면 게시판이나 채팅 등 인터넷 사이트에서 서비스되는 웹 애플리케이션의 취약점을 이용해 기업 내부의 중요한 정보자산에 침투하는 ‘웹 해킹’이 급속히 늘어나고 있다.

　정보보호컨설팅 전문업체인 STG시큐리티컨설팅(대표 문재철)이 지난해부터 20여개 포털서비스, B2B업체를 대상으로 웹애플리케이션에 대한 취약성을 진단한 결과 조사기업들의 대부분이 이미 해킹을 당했거나 시스템 내부에 백도어가 설치돼 있는 것으로 나타났다. 또 정통부가 지난 18일 긴급경보를 발령한 ‘IIS웹서버의 보안취약점’도 웹애플리케이션을 이용한 해킹에 활용될 가능성이 높다는 분석이 나오고 있다. IIS웹서버의 취약점을 이용한 공격을 탐지하고 기술분석 자료를 발표한 넷시큐어테크놀로지(대표 안용우)측은 취약점을 원천적으로 제거하지 않은 상태에서 웹 애플리케이션이 개발되면서 해킹의 위험에 크게 노출돼 있다고 지적했다.

　보안업계는 보안시스템이 설치된 기업의 내부 네트워크에 침투하기 위해 ‘우회적’인 형태의 해킹이 이용되고 있는 것으로 분석하고 있다. 기업 시스템에 대한 직접적인 해킹보다는 외부에 노출된 웹사이트에서 HTML이나 자바, php 등으로 구현된 서비스인 웹 애플리케이션들이 기업내부의 데이터베이스와 연결돼 있다는 점을 이용해 이를 경로로 침투한다는 것이다. 예컨대 해커들은 웹사이트(서비스)를 통해 침투, 기업 네트워크와 분리 운영하는 ‘비무장 네트워크대(DMZ)’를 거쳐 중요 데이터에 접근하게 된다. 이같은 기법의 위험성은 방화벽 등 보안제품들이 해킹 시도를 합법적인 접근으로 받아들인다는 점이다. 따라서 강력한 보안제품을 설치했다고 해도 정상적인 패킷으로 인정하기 때문에 적발이 쉽지 않다.

　이같은 취약점은 웹 애플리케이션 개발자들이 보안을 고려치 않기 때문에 발생한다. 따라서 관련업계는 보안성을 높이기 위해 웹 애플리케이션을 개발하면서 보안부문을 충분히 검토해야한다고 주장하고 있다. 또 이미 설치 운영하고 있는 웹 애플리케이션의 취약점을 찾아내고 그 위험에 대비하기 위해 새로운 취약점 점검과 보안컨설팅 방법론을 도입해야 한다고 밝히고 있다. 문재철 STG시큐리티 사장은 “그동안 보안솔루션에만 관심을 기울였으나 수년전부터 웹 애플리케이션을 통한 해킹이 주류를 이루고 있어 이제부터라도 관련분야에 대한 보안에 신경을 써야한다”고 말했다.　

　<서동규기자 dkseo@etnews.co.kr>