'내 개인정보 괜찮을까?'…웹사이트 해킹 막는 방법은?
■ 경제와이드 이슈&& &'생활경제&' – 김영은 에반젤리스트 생활 속 보안에 관한 다양한 상식을 알아보는 시간이죠? 오늘은 웹사이트 보안 이야기 해보려고 합니다. 홈페이지라고도 하죠. 아마도 하루에 몇 군데씩은 웹사이트를 방문하실 텐데요. 그런데 심심치 않게 웹사이트 해킹 사고가 발생하고 있다고 하죠? 그러다보니, 개인정보가 유출되는 피해가 발생하는데요. 정말로 중요한 웹사이트 보안! 기업들은 웹사이트 보안을 어떻게 대비하고 있는지, 이런 웹사이트를 이용할 때 우리가 지켜야 할 보안 수칙은 무엇인지 이야기 들어보겠습니다. 펜타시큐리티의 김영은 매니저님 나오셨습니다. Q. 매니저님, 통계를 보니까 전 세계에 십 억 개가 넘는 웹사이트가 존재한다군요. 정말 많은데, 그렇다면 실제 해킹되는 웹사이트들도 참 많을 것 같아요? 네, 매일 10만개가 넘는 웹사이트가 해킹되고 있다는 통계수치도 있을 정돕니다. 최근에는 웹사이트 통한 해킹이 전체 해킹사건의 90%에 육박합니다. 대기업이나 금융권의 해킹사건들은 언론에서 많이 접하셨을 겁니다. 하지만, 우리가 언론에서 보고 들은 것보다 더 많은 곳에서 해킹은 꾸준히 일어나고 있습니다. Q. 아무도 모르게 지금 이 시간도 웹사이트를 해킹하려는 시도들이 끊임없이 일어나고 있다는 말씀이군요. 보통 어떤 웹사이트들이 해킹을 많이 당합니까? 우리나라에서는 중소기업, 스타트업, 소호, 개인 홈페이지 같이 잘 알려지지 않은 곳이 모두 해킹의 대상이 되고 있습니다. 최근에는 해킹 당한 사례들을 소개해 드리면요, 급성장한 신생기업들 중에서 &'민감한 고객 정보를 다루는 기업들&'을 대상으로 해킹사고는 계속되고 있습니다. 1200명에 육박하는 숙박업체 &'여기어때&'의 개인정보 유출피해자들이 최근 여기어때를 상대로 집단소송을 진행 중에 있기도 합니다. Q. 대기업보다는 중견중소 혹은 벤처 스타트업 기업들, 개인 사업자들이 운영하는 웹사이트들이 주 해킹 대상이 되는 것 같군요? 사실 중소기업, 스타트업들도 각자, 개인정보보호협회로부터 &'보안 e프라이버시&' 인증이나 정부의 ISMS(정보보호관리체계) 인증을 받았다고들 주장하고 있습니다. 하지만 보안에 대한 중요성을 잘 느끼지 못하고 기업특성상 광고홍보 쪽으로는 대규모로 투자하면서, 기본적인 보안에 투자 비중이 적다보니 보안관리에 허술한 점이 있었기 때문입니다. Q. 중소기업, 개인홈페이지 같이 사고 소식이 잘 들리지 않는 곳이 더 안전한 것 아닌가요? 아닙니다. 그렇게 잘 알려지지않았기 때문에 오히려 더욱 위험한 상황이라고 할 수 있습니다. 대기업 보안사고 같은 경우는 언론을 통해서 크게 알려지기 때문에 사회의 경각심을 높일 뿐만 아니라, 문제가 생기면 튼튼한 자본으로 해킹으로 입은 여러 피해로부터 빠르게 회복합니다. 하지만 중소기업의 경우는 보안사고가 나더라도 잘 알려지지 않아서 사회적으로 경고 효과도 낼 수도 없을뿐더러, 당연히 자본도 부족해서 추후관리가 어렵기 때문에 최악의 경우에는 우리가 모르는 사이에 기업이 아예 사라져버리기도 합니다. 사고가 알려지지 않는다는게 보안시장에서는 굉장히 큰 문제입니다. 해커의 습성은 아무도 모르는 곳에서 몰래 행동하는 것이다 보니 당연히 잘 알려지지 않은 곳으로 타겟을 변경하게 되고 점점 중소기업에서 소호, 스타트업, 개인 웹사이트 같은 보안조치가 허술한 곳을 해킹 대상으로 정하게 됩니다. Q. 보통 웹사이트 보안 시스템은 어떻게 짜여져 있나요? 기본적으로 보안업체에서 권장하는 웹사이트 해킹 방어방법으로는 첫번째로, 웹사이트에 정보를 주고 받는 길목에 해커들을 막는 벽을 세웁니다. 웹 방화벽이라는 건데요. 웹사이트를 사용하면 기본적으로 설치해야하는 것인데, 대부분이 생략하고 있어서 큰 문젭니다. 두번째로는, 데이터자체를 보호을 하는 방법인데요. 중요한 정보를 아무나 읽을 수 없는 암호로 만들어 저장해두면, 만일 탈취되어도 쉽게 풀 수 없어서 해커들이 암호된 상태로 갖고 있기때문에 정보가 노출되지 않도록 하는 방법입니다. 웹방화벽과 암호화라는 것이 어렵게 들리실 수 있지만, 보안시장에는 이미 합리적인 가격으로 일반인들과 중소기업이 쉽게 사용할 수 있도록 솔루션이 마련되어있습니다. 하지만 몰라서 못하고, 필요성을느끼지 못해서 안하시는 경우가 많습니다. 또 관련 기관인 한국 인터넷진흥원에서는 중소기업을 대상으로 웹사이트 취약점 점검을 받을 수 있는 진단 프로그램도 실행하고 있습니다. Q. 웹사이트를 운영하시 분들은 좋은 보안솔루션을 사용하는 게 중요할 것 같군요. 실제로 어느 정도 사용하고 있을까요? 관심을 갖고 실제 사용하시는 분들은 소수입니다. 이런 사건들, 피해규모를 알려드려도 왜 해야하는지 아직까지도 단번에 이해를 못하시는 분들이 많았는데요. 개인정보와 고객의 정보를 보호하는 것을 고민하던 분들이 직접 보안프로그램을 이용하신 경우는 있습니다. 고객의 정보를 갖고 있는 입장에서 어떻게 관리해야 하는지를 고민하게 된거죠. 먼저 블로그를 운영하는 개인과, 온라인 쇼핑몰을 운영하는 분의 이야기를 들어보시죠. [황지현 / 작가 : 작가들한테는 아무래도 작품 홍보할 수 있는 홈페이지가 중요한데요. 제 홈페이지가 보안이 약하다는 얘기를 들었어요 그때, 믿을만한 보안회사에서 프로그램을 깔아줘서, 심리적으로도 굉장히 안정이 되고, 홈페이지에 작품을 보러 오시는 분들에게도 피해가 가지 않아서 활용을 하고 있습니다.] [한아름 / 온라인 쇼핑몰 대표 : 기존에 보안프로그램이 필요하다고는 생각은 했어요. 왠지 불안하기도 하고. 그런데 고객님들이 저희 쇼핑몰에 들어와서 프로그램을 다운받고 설치를 해야되고 이런게 있지않을까하는 생각 때문에 따로 보안프로그램을 설치를 안했었거든요. 그런데 이번에 이 프로그램을 받고 굉장히 괜찮다라는 생각이 들어서 사용하게 됐습니다.] Q. 이 두 분의 경우는 고객의 개인정보를 보호해야 한다&'는 책임감을 갖고 있는 분들 같군요. 이분들처럼 규모가 작은 중소기업이나 개인 사업자들도 보안의 중요성을 인지하고, 보안솔루션 설치와 같은 투자를 해야 한다는 말씀인가요? 그렇죠. 결국 보안이 허술한 웹페이지는 해커가 마음껏 드나들면서 악성 파일을 심어 놓게 되는데, 그런 경우 추후 웹 사이트를 방문한 사람이 파일을 다운 받거나, 유해 사이트로 이동되어 컴퓨터가 바이러스나 랜섬웨어에 감염될 수 있습니다. 전체 유해 파일의 40%정도는 이렇게 보안이 허술한 웹사이트를 통해 1차 감염의 경로가 되고 있습니다. 어찌 보면 웹 방화벽을 이용한 홈페이지의 보안은 자사의 보안은 물론 방문자도 보호하는 일차적인 방법입니다. 그동안은 웹사이트 보안이 왜 필요한지 알지 못하는 사회적인 분위기 때문에 실천하지 못했다면, 이제는 더 많은 사업자들이 그 필요성을 조금씩 생각해야할 할 때입니다. 기업들은 기업,개인 정보보호에 대한 투자로 경쟁력을 높일 수 있는 기회이고, 소호나 개인 웹사이트 운영자들도 더 많은 방문자들에게 신뢰를 드리는 방법이기 때문입니다. 또한, 보안전문가들이 더 쉽게 이 정보를 제공할 의무가 있고요, 보안업 종사자들도 합리적인 비용의 실질적인 보안수단을 연구, 개발할 필요가 있습니다. (자세한 내용은 동영상을 시청하시기 바랍니다.)
SBS Biz
|
2017.08.24
