[디지털데일리 이민형기자] 악성링크 삽입, 악성코드 배포 등 웹과 관련된 사고가 하루가 멀다하고 쏟아져 나오고 있지만 정작 국내 업체들의 대응은 미지근한 것으로 나타났다.
웹 취약성 방어에 기본이 되는 웹 방화벽을 도입하지 않은 곳이 여전히 많고, 악성코드를 배포하는 업체에 소스코드의 취약점을 알려줘도 이를 수정하지 않고 방치하고 있는 일이 다반사다.
해당 업체들은 ‘당장 도입하지 않아도 문제가 발생하지 않는다’, ‘비용이 많이 소모된다’, ‘인력이 없다’는 핑계로 대응에 손을 놓은 상황이다.
14일 보안업계에 따르면 지난해부터 자바, 인터넷익스플로러(IE), 플래시 등을 통한 취약성 공격이 극심해짐에도 불구하고 국내 업체들의 대응이 미진한 실정이다.
전상훈 빛스캔 이사는 “산업군을 불문하고 사용자들이 몰리는 홈페이지에는 어김없이 악성링크 삽입 등의 공격 정황이 포착되고 있다. 문제는 이러한 취약점을 인지하지 못하고 있거나, 인지하더라도 수정하지 않고 있다는 점”이라며 “웹 취약성 공격을 최소화하기 위해서는 웹 방화벽을 도입하거나 웹 취약점 진단을 통한 소스 수정이 필요하다”고 강조했다.
지난해 개인정보보호법 등 컴플라이언스 이슈로 급격한 성장이 예고됐던 웹 방화벽 시장도 평온함을 유지하고 있다.
트리니티소프트 관계자는 “웹 방화벽에 대한 수요가 꾸준히 증가하고 있지만 컴플라이언스적인 이슈나 웹 취약성 공격으로 인한 것은 아니다”라며 “현재는 노후장비 교체 수요나 망 이중화 사업 등에 웹 방화벽 공급 수요가 발생되고 있다”고 말했다.
이처럼 웹 취약성이 지속적으로 발견되고 있음에도 불구하고 이를 해결하고 있지 않은 업체들은 하나같이 ‘운영 비용 부족’을 이유로 꼽았다. 사용자의 보안을 담보로 홈페이지를 운영을 하고 있는 셈이다.
최근 한 업체 관계자는 “홈페이지 관리를 호스팅업체에서 해주기 때문에 사내에는 이를 관리할 수 있는 인력이 없다. 또한 임원들은 웹 취약성 보안과 관련 추가적인 비용을 지불하고자 하는 의지가 부족한 것이 현실”이라고 전했다.
단순히 비용적인 문제도 아닌 것으로 나타났다. 한국인터넷진흥원(KISA)에서는 ‘웹 취약성 원격점검 서비스’, ‘웹쉘 탐지 프로그램’, ‘홈페이지 해킹 방지도구’ 등을 무료로 제공하고 있으나 이조차도 활용하지 않는 업체들도 부기지수라고 한다.
박순태 KISA 침해사고대응단 해킹대응팀장은 “KISA는 무료로 웹 취약성 원격점검 서비스를 운영하고 있다. 완벽한 대응은 될 수 없지만 이조차도 활용하지 않는 업체들이 많다”고 말했다.
현재 KISA는 ‘웹 보안 툴박스(toolbox.krcert.or.kr)’를 통해 웹 취약성 점검을 실시하고 있으나 이마저도 신청률이 저조해지고 있다. 이는 웹 취약성 원격점검 서비스는 회원가입 이후 신청이 가능한데, 회원가입 방식이 기존 주민번호에서 아이핀(ipin)으로 전환됐기 때문이다.
박 팀장은 “회원가입 이슈로 인한 문제도 있지만 웹 취약성에 대한 관심과 인식이 낮은 것도 신청률 저조에 한 몫 한 것으로 보인다. 취약성을 해당 업체에 알려주더라도 이를 반영하지 않는 업체들이 많은 것도 현실”이라고 설명했다.
이어 “웹방화벽의 경우 도입비용이 많이 들기 때문에 도입을 주저하는 업체들이 많다. 이러한 업체들은 웹방화벽 대신 KISA에서 제공하는 웹쉘 탐지프로그램, 홈페이지 해킹 방지도구 등을 활용하면 피해를 최소화 할 수 있을 것”이라고 덧붙였다.