전체 트래픽의 평균 7%는 해킹 공격에 해당되는 양
훔칠 게 많아서 뚫리는 게 아니라 허술하기 때문에 뚫려

[보안뉴스 문가용] 최근 고양이를 잠깐 맡겨둘 곳이 필요했다. 그래서 인터넷을 검색해 한 업자를 찾았는데 홈페이지에 비아그라 광고가 붙어있었다. 아니, 자세히 보니 회사 이름 밑에 아주 조그맣게, 그러나 분명히 읽을 수 있는 정도의 크기의 글자가 교묘하게 써 있는 것이었다. 애완동물 업자가 사람이 먹을 수 있는 약품을 팔 수 있도록 허가되어 있는 것도 아닌데 굳이 그렇게까지 광고를 할 필요가 있을까 싶었는데, 아니나 다를까 그 업자가 하는 광고가 아니었다. 심지어 그 사실을 모르고 있었다.

 ▲ 보안인의 눈에 보기엔 아름답지만은 않은 광경, 어쩌면 당신 사업장의 현실.

보통 작은 규모의 사업장에서 웹 사이트 보안에 대해 이야기하면 보통 이런 반응을 보인다. “해커가 왜 이렇게 작은 곳을 털겠어요. 가져갈 것도 없는데.” 그리고 이런 반응을 보인 사업장에서 새로 웹 사이트를 만들어 인터넷에 올리면 해킹에 대한 가능성을 완전히 배제하고 산다. 물론 검색 순위나 유입 경로, 트래픽 등은 살펴본다. 하지만 그게 다다. 하지만 해커들은 분명히 이런 작지만 보안이 소홀한 웹 사이트를 찾아 헤매고 있다. 공격 대상으로서 혹은 공격 플랫폼으로서 이용가치가 높기 때문이다.

소규모 사업을 운영하고 있고, 그래서 해커로부터 공격받을 가능성이 극히 낮다고 생각하는 사업주들은 다음 다섯 가지 사항을 기억할 필요가 있다.

5. 해커들이 공격에 활용하는 취약점은 어디에나 있으며 매일 새롭게 발견된다. 사업 규모가 크든 작든 상관이 없다. 업데이트를 꾸준히 한다고 해서 취약점에서 완벽히 자유로운 것도 아니다. 물론 업데이트나 패치가 큰 도움이 되는 건 사실이지만 말이다. 그런데 작은 회사나 사업장에서는 보안에 대한 인식이 위에서 말한 이유로 부족하기 때문에 그나마 업데이트나 패치도 제대로 안 해주는 경우가 많다. 오히려 큰 회사일수록 이런 것에 철저하다. 당신이 해커라면 어느 쪽을 노리겠는가? 단단한 철벽과 같은 성일까 아니면 울타리나 대문도 없는 작은 집일까?

4. 해커의 공격은 24시간 계속된다. 누구나 자신의 웹 사이트에 유입되는 인구가 많으면 많을수록 기분이 좋을 것이다. 하지만 한 통계에 의하면 모든 트래픽(방문자 수를 말하는 것이 아니다)의 평균 7%는 해커의 공격에 해당된다. 이는 적지 않은 수치다. 100명의 순방문자가 오늘 들어왔다면 매 시간 평균 두 번의 공격 시도가 있었다는 뜻이 된다. 한 해에 거의 2만번의 공격을 당한다는 것. 이 정도의 숫자라면 취약점이 해결되느냐 마느냐보다 언제 뚫리느냐가 더 큰 문제가 된다. 즉, 언제 뚫려도 이상하지 않다는 것이다.

3. 해커들의 능력은 지금 상당히 높아져 있는 상태다. 시스코의 2014 보안 보고서에는 웹 사이트 해킹을 “고효율 감염 전략”이라고 정의하고 있다. 한 번 해커 손에 들어간 웹 사이트는 그 자체로 공격 목표가 될 수도 있지만 또 다른 공격에 활용하는 플랫폼이 될 가능성도 높다. 활동 반경이 더 넓어지고 그 만큼 해커에게 활동성을 부여하는 것이다. 이런 플랫폼을 하나 확보한 해커는 어떤 바이러스를 어떤 시점에 어떤 방식으로 퍼트릴지 자유롭게 결정할 수 있게 된다.

예를 들어 예전에는 이메일에 악성 프로그램을 첨부파일로 붙여서 해킹 대상에게 전달하는 수법을 주로 썼지만 요즘에는 소규모 사업장의 웹 사이트를 해킹해서 그곳에 들어오는 방문자가 자동으로 감염되게 만들 수 있다. 공격이 훨씬 간단하고 쉬워진 것이다. 또한 이런 사이트를 통해 자신이 만든 혹은 새로 구한 멀웨어의 성능을 시험해 볼 수도 있다. 쉽게 쉽게 피해자를 늘려 가면 봇넷을 구축할 수도 있게 된다.

2. 해커들에게 있어 사업장의 규모는 그다지 중요하지 않다. “너무 작으니 해킹할 리가 없다”는 건 오로지 사업주들의 해이에서 오는 착각이다. 정식 사업장에서 운영하는 웹 사이트라는 것만으로도 이미 그 가치는 충분하다. 위에서 예를 든 것처럼 2차 감염자들을 자연스럽게 유인하는 덫으로서도 활용이 가능하고, 피싱 페이지를 만들어 걸어둘 장소로서도 활용할 수 있다. 이렇게 공식 사이트를 거침으로써 안티스팸 소프트웨어를 우회할 수 있게 된다. 웹센스 2014 위협 보고서에 의하면 악성 웹 링크의 85%가 공식 사이트에서 발견된다.

1. 지속적인 해킹에 노출되면 금전적인 손해뿐 아니라 회사의 이름에 문자 그대로 먹칠을 하는 것이나 다름없다. 이렇게 여러 가지 해킹에 노출된 사이트는 구글에서 블랙리스트 처리를 하기 때문이다. 사실상 현대의 인터넷 환경에서 구글과 척을 둔다는 건 회사 문을 닫겠다는 소리다. 지난 해 페이스북, 트위터, 마이크로소프트, 애플의 네트워크가 워터링 홀 공격을 당한 적이 있는데, 이 역시 직원들이 자주 방문하는 소규모 사업장의 웹 사이트들로부터 해킹이 시작된 것으로 밝혀졌다. 그 중 몇몇 회사의 결과는 그다지 아름답지 않았다. 이런 식의 ‘응용 공격’ 혹은 ‘우회 공격’은 사업 분야나 규모를 가리지 않는다.

웹 사이트 없이는 사업하기가 힘든 때다. 이 점은 이제 어지간한 사장님들은 다 인지하고 있으며 실천도 하고 있다. 그 다음은 ‘보안 없이 사업하기 힘든 때’다. 시간이 흐르면서 점점 많은 사장님들이 보안에 관심을 쏟을 것이다. 다만 그렇게 되기까지 ‘소 잃고 외양간 고치는’ 식으로 보안 의식이 높아지지 않기를 바란다.
ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>