웹 해킹에 대한 꾸준한 관심과 대응 필요

지난해 말부터 나타난 웹 애플리케이션 취약점을 이용한 홈페이지 변조와 악성코드 삽입 사건이 갈수록 기승을 부리고 있어 웹 애플리케이션 설계 단계부터 보안대책을 마련해야 할 것으로 지적됐다.

한국정보보호진흥원(KISA·원장 이홍섭)은 19일 삼성동 섬유센터에서 ‘제 2회 홈페이지 보안기술세미나’를 열고 웹 개발시 보안 취약점에 대한 사전 점검과 운영자들이 홈페이지를 수시로 점검 관리할 것을 권고했다.

KISA는 지난해 12월 22일부터 올해 2월 1일까지 약 한 달여 간 7000여 개 이상의 국내 홈페이지가 변조되는 사건이 발생했다고 밝혔다. 이들 홈페이지는 대부분 브라질 등 해외 해커에 의해 변조됐으며 보안 패치를 적용하지 않은 것이 원인이었다. 피해 금액만도 42억원으로 추정되며 영업 손실과 고객배상, 복구 비용, 기업 이미지 실추 등을 모두 감안한 수치다.

KISA는 이 당시 경계령을 내려 보안 패치를 완료, 피해가 줄어들었지만 10월까지 여전히 패치 되지 않은 사이트에 대한 공격이 꾸준하다고 강조했다. 특히 최근에는 일반 PC사용자들이 해킹당한 홈페이지를 방문만 해도 악성코드에 감염시키는 해킹 사고가 지속적으로 발생하고 있어 주의를 당부했다.

KISA는 웹 개발시 △접근통제 취약점과 △부적절한 파라미터 △취약한 세션 관리(Cookie Injection) △악의적인 명령실행 △버퍼 오버플로우 등의 취약점을 고려해야 한다고 지적했다. 또 △악의적인 명령어 주입공격(SQL Injection) △업로드 및 다운로드 취약점 △개발보안 관리 △부적절한 환경설정 등에 대한 취약점을 인식을 주문했다.

정현철 KISA 선임연구원은 “대부분의 웹사이트가 관리자 계정을 손쉽게 알아낼 수 있는 형태로 구성돼 있다”며 “관리자 페이지에 대해 IP레벨 접근 권한을 설정해 아무나 관리계정으로 들어갈 수 없도록 해야 한다”고 설명했다.

김인순기자@전자신문, insoon@