IT·과학 산업 경제
정치 사회 문화·생활
전국 글로벌 연예·스포츠
오피니언 포토·영상 기획&시리즈
스페셜&이벤트 포럼 리포트 아이뉴스TV

아직도 ID는 admin- 비번은 1234 쓰세요?

본문 글자 크기 설정
글자크기 설정 시 다른 기사의 본문도 동일하게 적용됩니다.

1분기 웹사이트 공격 전년비 35% ↑…… 웹사이트 보안 '무방비'

[아이뉴스24 성지은기자] #숙박 예약 서비스 '여기어때'는 지난 3월 웹사이트 취약점을 통한 SQL 인젝션(Injection) 공격을 받아 99만여건의 고객 정보가 유출됐다.

#OO여행사 웹사이트는 최근 악성코드 유포지로 활용됐다. 해커는 웹사이트 내 취약점을 통해 해당 페이지에 접속하는 사용자에게 악성코드를 유포했다.

웹사이트 공격이 기승을 부리고 있다. 그러나 여전히 많은 웹사이트가 보안에 취약한 상태다.

해커는 웹사이트 취약점을 이용해 고객 개인정보를 탈취하고, 홈페이지 접속자에게 악성코드를 전파하는 등 사이버 위협을 확대하고 있어 대비책 마련이 시급하다는 지적이다.

25일 보안 업계에 따르면, 웹사이트에 대한 사이버 공격이 늘고 있는데도 많은 웹사이트가 보안이 허술한 상태로 방치되고 있는 것으로 나타났다.

콘텐츠전송네트워크(CDN) 기업 아카마이의 '2017년 1분기 인터넷 보안 현황 보고서'에 따르면, 올해 1분기 웹 공격은 전년 동기 대비 35% 증가했다. 여기어때를 노린 SQL 인젝션 또한 전년 동기 대비 28% 증가했다.

SQL 인젝션은 웹사이트 취약점을 찾아 SQL 질의문을 삽입하고, 데이터베이스(DB)를 공격하는 기법이다. 공격에 성공할 경우, DB에 존재하는 중요 내부 정보를 빼내거나 사용자 권한을 탈취할 수 있어 공격 시도가 계속 늘고 있다.

한인수 펜타시큐리티시스템 이사는 "SQL 인젝션 공격에 성공하면 해커는 DB에 있는 정보를 대량으로 탈취할 수 있다"며 "들어가는 시간과 노력 대비 얻을 수 있는 정보가 많기 때문에 SQL 인젝션 공격이 늘고 있고, 해커들은 웹사이트를 공격할 때 1차적으로 SQL 인젝션을 시도한다"고 설명했다.

문제는 이같이 심각한 웹사이트 공격이 늘고 있음에도 여전히 많은 웹사이트가 보안에 취약한 상태로 노출돼있다는 사실이다.

보안 업계 관계자는 "온라인을 통한 예약과 결제가 늘면서, 고객정보, 결제정보 등 중요 정보를 포함한 웹사이트가 늘고 있는데, 이들 대다수가 SQL 인젝션 등 웹사이트 공격에 취약한 편"이라며 "영세한 기업에서 웹사이트를 운영하는 경우가 많아 보안에 신경을 쓰지 않는 경우가 대부분"이라고 말했다.

낮은 수준의 보안 의식도 웹사이트를 통한 보안 위협을 확대하고 있다. 웹사이트 관리자가 홈페이지를 제대로 관리하지 않고 스스로 위험을 자초하는 경우도 부지기수.

가령 외부에서 웹사이트 관리자 페이지에 접속할 수 있도록 온라인에 주소를 노출하고, 아이디와 비밀번호를 기초 수준으로 설정해 위협을 자초하는 식이다.

보안 업계 또다른 관계자는 "웹사이트 관리자 페이지가 무방비하게 노출되는 경우가 많고, 인터넷주소(URL) 옆에 '/admin'이라고 입력했을 때 관리자 페이지가 노출되는 경우가 많다"고 말했다.

이어 "페이지가 노출됐다고 해도 아이디나 비밀번호를 알 수 없게 설정하면 해킹 위협이 줄어들지만, 대다수가 아이디로 admin을 사용하고 패스워드도 1234 같이 기초적인 수준으로 사용한다"고 우려했다.

웹사이트를 안전하게 보호하려면 웹사이트 관리자 페이지가 외부에 노출되지 않도록 하는 것은 기본. 웹사이트 관리자 권한이 탈취될 경우 웹사이트내 고객 정보가 유출될 위험이 높고, 해커가 해당 웹사이트에 악성코드를 심는 등 위협을 확대할 수 있기 때문이다.

이 관계자는 "웹사이트 보안을 강화하려면 관리자 페이지가 외부에 노출되면 안되고, 관리자 페이지에 접속하는 사람도 인터넷프로토콜(IP)로 제한을 둬 특정 컴퓨터에서만 관리자가 페이지에 접속할 수 있도록 해야 한다"고 당부했다.

보안 전문가들은 이같이 웹사이트를 통한 위협을 줄이기 위해 웹사이트 설계 시부터 안전하게 구현하는 방안이 필요하다고 조언한다. 또 정기적인 웹 취약점 점검 등으로 보안성을 확인하는 방안이 필요하다고 설명한다.

중소기업의 경우, 한국인터넷진흥원(KISA)을 통해 ▲웹 취약점 점검 서비스 ▲악성코드(웹셀) 및 악성코드 은닉 사이트 탐지도구 '휘슬' ▲웹 방화벽 프로그램 '캐슬' 등을 무료로 받아 사용할 수 있다.

KISA 관계자는 "보호나라(https://www.boho.or.kr) 홈페이지에서 다운로드 버튼을 누른 뒤 휘슬, 캐슬 프로그램을 내려받아 사용할 수 있다"고 설명했다.

성지은기자 buildcastle@inews24.com

  1. 펜타시큐리티, 웹사이트 보안 서비스 론칭 기념 행사

  2. '사드 여파' 중국발 국내 웹사이트 해킹 확산
공유하기

주소가 복사되었습니다.
원하는 곳에 붙여넣기 해주세요.
alert

댓글 쓰기 제목 아직도 ID는 admin- 비번은 1234 쓰세요?

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
댓글 바로가기