악성코드의 일상화, 대비책 '난감'

중소규모 웹사이트는 물론 언론사까지 악성코드 공격에 일상적으로 노출돼 있지만 대비책 찾기가 쉽지 않다. 악성코드가 발견되면 삭제하는 일까지는 가능하지만 이를 관리할 만한 보안전문가를 두는 곳은 드물기 때문이다. 게다가 보안 예산을 확보하기도 힘든 곳이 대부분이다.

8일 보안업계와 한국인터넷진흥원(KISA) 등에 따르면 대부분 중국발 IP로 추정되는 PC를 통한 악성공격은 이미 일상화돼버렸다. 특히 지난해 12월 들어 공격이 급증하면서 예스24, CJ E&M, 흥국생명 등이 악성공격을 받은 것으로 확인됐다.

이 중 CJ E&M의 경우는 'rq.cjmedia.net'이라는 관리자 서버가 악성코드를 유포하는 악성링크로 이용된 경향이 발견됐다. 보안회사 빛스캔에 따르면 이 사이트는 다른 악성코드에 감염된 PC에 또다른 악성코드를 뿌리는 중간통로로 활용됐다.

이에 대해 CJ E&M측 관계자는 이 사이트가 회사가 합병되기 전 CJ미디어의 케이블 TV쪽에서 사용했던 관리자용 웹호스팅 사이트라며 현재는 아예 폐쇄했다고 밝혔다. 문제는 이 회사가 합병 뒤에도 남아있는 웹사이트를 제대로 관리하지 않았다는 점이다. 이 같은 문제는 중소 규모 웹호스팅 회사에서는 더하다.

KISA 침해사고탐지팀 전인경 팀장은 웹호스팅 회사들 중에 영세 업체들이 많은데 대부분은 사이트를 열어 놓고 관리를 하지 않고 있다며 악성공격이 탐지돼 조치가 필요하다는 내용을 알려줘도 이를 제대로 이해하는 관리자들이 없는 것이 현실이라고 지적했다.

예를 들어 웹사이트의 게시판에 첨부파일을 올릴 수 있게 하는 기능을 구현할 때 악성스크립트가 같이 올라갈 수 있기 때문에 이를 체크하도록 조치를 취해야한다고 말하면 무슨 말인지 잘 모르겠다, 그 분야 담당자가 없다는 말이 돌아온다는 것이다.

악성공격을 100% 막을 수 있는 방법은 없기 때문에 고려하게 되는 것은 웹사이트를 구축하는 단계에서부터 보안취약점을 점검하는 것이다. 지난 달부터 공공부문에서는 '시큐어코딩' 의무화 제도를 실시하고 있다. 이는 개발단계에서부터 보안취약점이 없도록 시스템을 구축하도록 하는 제도다.

그러나 웹호스팅 회사들은 이마저도 제대로 적용하기 어려운 것이 현실이다. 영세 회사에서는 보안에까지 신경쓸 만큼 예산이 없다. 또 예산이 있어도 공개게시판 등을 운영하는 서비스의 특성상 수시로 사이트를 관리해야 하는데 시큐어코딩을 통해 점검할 수 있는 것은 개발 단계에만 머물러 있다.