韓화이트해커 2.5억 상금받게 한 웹브라우저 해킹

머니투데이

진달래 기자

지난주 한국인 화이트해커가 세계 보안 컨퍼런스 대회 '폰투오운(Pwn2Own 2015)'에서 각종 웹브라우저 보안 취약점을 활용해 해킹에 성공하면서 거액의 상금(22만5000달러)을 받은 소식이 화제가 됐다.

이정훈 라온화이트햇센터 연구원은 구글 '크롬' 마이크로소프트(MS) '인터넷 익스플로러 11' 애플 '사파리' 등에 대한 보안 취약점을 활용했는데, 이 같은 정보는 각 사의 제품 보안 강화에 정보로 활용된다.

이번 대회 외에도 웹브라우저를 제공하는 글로벌기업들은 거액 상금을 걸고 정기적으로 보안 대회를 열고 있다. 지난해 국내 기업 줌 인터넷은 자사 웹브라우저 '스윙 브라우저'로 이용자가 해킹을 당해 금전적 손실이 발생하면 이를 최대 100만원까지 보상하겠다며 보안을 마케팅에 활용하기도 했다.

각종 대회와 보안마케팅은 웹브라우저에서 보안이 그만큼 중요하다는 방증이기도 하다. 사용자들의 인터넷 접속 도구로 활발히 사용되는 탓에 취약점 발견 시 수많은 이용자들이 피해를 입을 수 있기 때문.

보안업계에 따르면 최근 사이버 공격의 대부분은 웹 브라우저 애플리케이션 자체의 취약점이나 브라우저 플러그인을 이용해 웹에서 이뤄진다. PC는 물론 모바일 등에서 웹브라우저에 접속하는 횟수가 갈수록 잦아지는 영향이기도 하다.

새로운 보호 기술과 보안 패치가 적용된 최신 웹브라우저를 사용하는 것이 보안을 지키는 기본이다. 하루에도 보안 취약점이 셀 수 없이 만들어지는 상황이지만, 많은 이용자들이 브라우저 업데이트를 신경 쓰지 않는다고 보안업계는 지적한다.

지난 2012년 보안기업 카스퍼스키랩의 조사 결과 사용자의 25%가 최신 버전으로 업데이트하지 않고 있는 것으로 드러났다. 그만큼 해커들이 노릴 수 있는 취약한 PC들이 많다는 의미기도 하다.

웹브라우저의 새로운 버전이 출시되었을 때 업그레이드 시간은 평균 한 달 이상 소요됐다. 사이버 범죄자들이 몇 시간 이내에 알려진 웹브라우저 취약점을 악용해 공격할 수 있다는 위험성을 제대로 알고 있지 못한 탓이다.

보안전문가들은 자동 업데이트 기능을 사용하되 수시로 사용하는 웹브라우저를 제공하는 기업 웹사이트에서 업데이트 현황을 확인하고 설치하는 것이 좋다고 당부한다.