'홈페이지의 덫' 당신의 사이트는 안전하십니까
페이지 정보
조회 3,578회 작성일 14-03-10 11:24본문
제목 : '홈페이지의 덫' 당신의 사이트는 안전하십니까
[KT뿐 아니라 대형교회, 일반기업까지 웹사이트 보안 엉망]
#서울의 한 대형교회를 다니는 A씨는 개인 노트북으로 며칠 전 교회 홈페이지에 접속했다가 악성코드에 감염됐다. 감염 사실도 교회 홈페이지 공지로 알게 됐다. 알고보니 금융정보가 유출됐을 수도 있고, 심지어 해커가 A씨의 노트북을 원격 제어할 가능성까지 있다는 것.
A씨처럼 늘상 이용하던 홈페이지를 통해 악성코드에 감염되는 사례가 비일비재하다는 것이 보안업계의 분석이다. 웹페이지 보안관리가 철저하지 않아, 일반기업은 물론 작은 웹페이지까지 해커들에게 목표물이 되고 있다는 설명한다.
7일 보안업계에서는 KT 홈페이지가 해킹당하면서 대규모 고객정보가 유출되자 비단 KT만의 문제가 아니라는 우려가 쏟아지고 있다. 내부 서버와 DB(데이터베이스) 등을 중심으로 보안을 강화하고 있어 홈페이지 등은 사각지대에 놓여있는 것으로 알려졌다.
이번 해킹 대상인 올레닷컴 웹페이지는 구축 단계부터 부실했던 것으로 지적받는다. 웹페이지를 만드는데 사용하는 일반적인 프로그램만으로도 사용자와 웹서버간에 오고가는 정보들이 고스란히 드러난다는 설명이다.
한 보안전문가는 "고객 사용의 편리성에 집중한 웹사이트라는 점을 감안하더라도 구축단계부터 보안에 대한 고려가 거의 없었던 셈"이라고 말했다. 해킹된 올레닷컴은 고객이 본인의 이용현황 등을 쉽게 파악할 수 있도록 서비스를 제공한다.
문제는 이러한 허술한 웹페이지 보안관리를 어디서나 찾을 수 있다는 점이다. 기업 대부분의 보안투자가 내부 시스템에 몰려 있는 반면 웹사이트 관리는 '엉망'이라는 것이 보안업계 분석이다.
경찰 조사에서 KT 홈페이지를 해킹한 김모씨(29) 등이 증권사 홈페이지를 다음 해킹 대상으로 노렸다고 진술한 것도 이같은 현황을 파악하고 있기 때문이다. 보안전문가들은 그나마 금융권 홈페이지는 상대적으로 보안이 튼튼한 편이라고 설명한다.
한 보안업계 관계자는 "일반 기업이나 협회 등의 홈페이지는 보안관리가 없다고 볼 수 있을 만큼"이라며 "웹페이지 보안이 어느정도 마련돼야 통과할 수 있는 정보보호관리체계(ISMS) 인증을 받아도 보안을 장담할 수 없다"고 말했다.
ISMS 인증을 받기 위해 짧게는 2~3개월에서부터 길게는 6개월 이상 준비를 하는데, 인증 후 지속적으로 관리하지 않으면 유명무실해진다는 설명이다.
다른 보안전문가는 "다른 기업들의 홈페이지도 해킹으로 인해 악성코드에 감염되거나, 악성코드를 유포하는데 이용되는 웹페이지로 둔갑하는 경우가 하루에도 수십건씩 발생한다"고 말했다. 대형교회나 각종 협회 등 방문자 수가 많은 웹사이트들부터 소규모 웹사이트까지 예외가 없다는 분석이다.
보안업계는 웹사이트 설계 당시부터 접근 관리 등은 물론이고, 웹사이트의 취약점에 대한 분석을 지속적으로 해야한다고 조언한다. 한 관계자는 "공격자는 정문을 노리지 않는다"며 "사각지대를 찾아 공격하는데, 웹페이지를 상시적으로 관리하지 않는다면 목표물이 될 수밖에 없다"고 말했다.
#서울의 한 대형교회를 다니는 A씨는 개인 노트북으로 며칠 전 교회 홈페이지에 접속했다가 악성코드에 감염됐다. 감염 사실도 교회 홈페이지 공지로 알게 됐다. 알고보니 금융정보가 유출됐을 수도 있고, 심지어 해커가 A씨의 노트북을 원격 제어할 가능성까지 있다는 것.
A씨처럼 늘상 이용하던 홈페이지를 통해 악성코드에 감염되는 사례가 비일비재하다는 것이 보안업계의 분석이다. 웹페이지 보안관리가 철저하지 않아, 일반기업은 물론 작은 웹페이지까지 해커들에게 목표물이 되고 있다는 설명한다.
7일 보안업계에서는 KT 홈페이지가 해킹당하면서 대규모 고객정보가 유출되자 비단 KT만의 문제가 아니라는 우려가 쏟아지고 있다. 내부 서버와 DB(데이터베이스) 등을 중심으로 보안을 강화하고 있어 홈페이지 등은 사각지대에 놓여있는 것으로 알려졌다.
이번 해킹 대상인 올레닷컴 웹페이지는 구축 단계부터 부실했던 것으로 지적받는다. 웹페이지를 만드는데 사용하는 일반적인 프로그램만으로도 사용자와 웹서버간에 오고가는 정보들이 고스란히 드러난다는 설명이다.
한 보안전문가는 "고객 사용의 편리성에 집중한 웹사이트라는 점을 감안하더라도 구축단계부터 보안에 대한 고려가 거의 없었던 셈"이라고 말했다. 해킹된 올레닷컴은 고객이 본인의 이용현황 등을 쉽게 파악할 수 있도록 서비스를 제공한다.
문제는 이러한 허술한 웹페이지 보안관리를 어디서나 찾을 수 있다는 점이다. 기업 대부분의 보안투자가 내부 시스템에 몰려 있는 반면 웹사이트 관리는 '엉망'이라는 것이 보안업계 분석이다.
경찰 조사에서 KT 홈페이지를 해킹한 김모씨(29) 등이 증권사 홈페이지를 다음 해킹 대상으로 노렸다고 진술한 것도 이같은 현황을 파악하고 있기 때문이다. 보안전문가들은 그나마 금융권 홈페이지는 상대적으로 보안이 튼튼한 편이라고 설명한다.
한 보안업계 관계자는 "일반 기업이나 협회 등의 홈페이지는 보안관리가 없다고 볼 수 있을 만큼"이라며 "웹페이지 보안이 어느정도 마련돼야 통과할 수 있는 정보보호관리체계(ISMS) 인증을 받아도 보안을 장담할 수 없다"고 말했다.
ISMS 인증을 받기 위해 짧게는 2~3개월에서부터 길게는 6개월 이상 준비를 하는데, 인증 후 지속적으로 관리하지 않으면 유명무실해진다는 설명이다.
다른 보안전문가는 "다른 기업들의 홈페이지도 해킹으로 인해 악성코드에 감염되거나, 악성코드를 유포하는데 이용되는 웹페이지로 둔갑하는 경우가 하루에도 수십건씩 발생한다"고 말했다. 대형교회나 각종 협회 등 방문자 수가 많은 웹사이트들부터 소규모 웹사이트까지 예외가 없다는 분석이다.
보안업계는 웹사이트 설계 당시부터 접근 관리 등은 물론이고, 웹사이트의 취약점에 대한 분석을 지속적으로 해야한다고 조언한다. 한 관계자는 "공격자는 정문을 노리지 않는다"며 "사각지대를 찾아 공격하는데, 웹페이지를 상시적으로 관리하지 않는다면 목표물이 될 수밖에 없다"고 말했다.
- 이전글도메인 구매, 이렇게 하면 '대략 난감' 14.03.25
- 다음글8월부터 '주민번호 수집 금지' 과징금 5억 14.01.20