로그인 창이 '해킹창구'로…안전수칙 '불감증'이 문제
이번 리딩투자증권 해킹에 사용된 해킹 방법은 'SQL인젝션 공격'으로, 웹페이지의 로그인 창에 특정 명령어를 넣어 가입자들이 로그인 창에 입력한 이름, 주민등록번호 등을 빼내는 방법이다.
보안업계 관계자는 "SQL인젝션 공격은 어느 정도 기술을 가진 사람이라면 사용할 수 있는 방법이다. 이 방법에 당했다는 것은 홈페이지를 빨리 완성하는 데 치중하다 설계를 제대로 안 했다는 뜻이다"라고 지적했다.
SQL인젝션 공격을 예방하기 위해서는 보안을 염두에 두고 인터넷 사이트를 설계해야 한다. 이 관계자는 "외국의 경우 인터넷 사이트 설계 단계부터 유지보수를 감안해 설계하고, 관리감독도 중요하게 생각한다"고 전했다.
보안업계에서는 결국 '안전불감증'이 주요 원인이라는 지적이다. 업무 성격상 불필요한 ID를 5개나 두고 있었을 뿐 아니라, 퇴직직원의 ID를 삭제하지 않는 등 ID 관리에 소홀했다. 침입방지 시스템과 침입차단 시스템이 있었음에도 불구하고 IP를 차단하거나 해킹패턴을 분석하려는 시도를 하지 않은 것도 문제다.
보안업계 관계자는 "기업이나 기관이 ID나 패스워드를 제대로 관리하지 않는 것은 보안의 기본수칙이 안 되어 있다는 증거"라며 "고가의 보안 장비보다도 사람에 대한 보안의식, 관련사나 협력사에 대한 보안이 철저하게 갖춰져 있어야 한다"고 지적했다.
@include $docRoot.'/uhtml/article_relate.php';?>
이지은 기자 leezn@
<ⓒ세계를 보는 창 경제를 보는 눈, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>
이지은 기자 leezn@
<ⓒ아시아 대표 석간 '아시아경제' (www.newsva.co.kr) 무단전재 배포금지>