머니투데이

통합검색

실시간 속보

청년내일 채움공제 (~종료일 미정)대한민국법무대상 (-1.28)
비트코인 광풍 - 가상화폐가 뭐길래

'나야나'는 제2의 '여기어때'…방치된 보안 사각지대

250개 웹호스팅 업체 중 4곳만 ISMS 인증…정보통신망법상 신고제로 운영돼 보안 관리 검증 안돼

머니투데이 김지민 기자 |입력 : 2017.06.20 03:00|조회 : 5451
폰트크기
기사공유
'나야나'는 제2의 '여기어때'…방치된 보안 사각지대
인터넷나야나 랜섬웨어 사태를 계기로 국가 정보보호 체계에도 비상등이 켜졌다. 사이버 공격자들이 노리는 타깃이 중소 웹호스팅 업체나 O2O(온·오프라인연계) 스타트업으로 옮겨지고 있기 때문이다. 통신·금융기관 등 주요 정보통신기반시설과 일정규모 이상의 방문자 수를 갖춘 인터넷 서비스 업체는 법적으로 보안 시스템 혹은 정보보호 체계를 의무화하고 있지만, 중소 웹호스팅 혹은 스타트업 중 상당수는 의무 기준에서 예외다. 이들 중 수천~수만개의 홈페이지를 관리하거나 개인 회원들의 민감정보를 취급하는 곳들이 적지 않다. 한번 뚫리면 2차 피해가 훨씬 더 클 수 밖에 없는 곳들이다. 최근 해커들이 집중적으로 노리는 타깃이다.

◇웹호스팅 업체 상당수, ISMS 인증 대상 아냐=19일 보안업계에 따르면 국내 웹호스팅 업체 중 정부의 정보보호관리체계(ISMS) 인증을 받은 곳은 카페24, 가비아, 코리아센터닷컴, 후이즈 등 4곳 정도에 불과했다. ISMS는 정보통신망법에 따라 기업의 정보보호시스템이 체계적으로 운영되는지 여부를 평가해 부여하는 인증 제도다. 관리절차, 운영체계 등 100가지가 넘는 심사 기준을 통과해야 한다는 점에서 인증을 받으면 정보보안 시스템의 기본적인 체력을 갖춘 것으로 본다.

모든 기업이 ISMS 인증을 받아야 하는 것은 아니다. SK텔레콤, KT, LG유플러스 등 인터넷서비스공급업체(ISP), 인터넷데이터센터(IDC) 사업자가 인증 의무 대상이다. 연간 매출액이 1500억원 이상이거나 정보통신서비스 매출액이 100억원 정도 되는 사업자도 필수적으로 인증을 받아야 한다. 정보통신 관련 업이더라도 이 기준을 충족하지 않는 중소 사업자들은 굳이 보안 인증을 받을 필요가 없다. 대표적인 곳이 웹호스팅 업체다. 현재 관련 사업자는 수백곳에 달하는 것으로 추정된다. 웹호스팅 업체들이 우후죽순 늘어나고 있는 가장 큰 이유는 정보통신망법에 따라 전기통신사업자로 신고만 하면 사업을 할 수 있기 때문.

사업자 등록 절차가 없기 때문에 관련 규제도 없다. 현재 한국인터넷진흥원(KISA)이 국내 기업들과 공조해 운영하는 위협정보공유채널을 통해 관리되는 웹호스팅 업체는 250여 곳 정도다. 다만 이 채널은 위협정보를 공유하는 수준일 뿐, 해당 업체들의 보안 수준이나 점검 등을 강제할 수 없다. 사업규모가 영세하다 보니 대형 사업자에 비해 보안 수준이 현저히 떨어질 수밖에 없다. 이번 사태의 경우 감염 경위에 대해 조사 중인 단계여서 전적으로 회사 책임이라 단정할 수 없다. 다만 물리적으로 백업 서버가 분리되지 않아 데이터 복구를 어렵게 설계됐다는 점이 문제점으로 지적된다. 웹호스팅 업체 관계자는 “이들 업종 자체가 대부분 영세하다보니 망분리의 중요성을 알았더라도 현실적으로 시간, 비용 문제에 봉착했을 것”이라고 토로했다.

◇늘어나는 웹사이트 따라 활개치는 해커들…‘계도’보다 ‘지원’ 필요=웹호스팅 업체 뿐 아니라 O2O처럼 보안 사각지대에 놓인 곳들에 대한 정부의 실무적인 지원과 제도 개선이 필요한 시점이라고 입을 모은다. 이들 업종의 특징은 한 곳만 공격하면 이와 연결된 다수의 고객사 혹은 고객사 정보를 한번에 탈취할 수 있다는 점이다. 여기어때의 경우 당시 공격으로 회원들의 이름, 이메일 주소 등 신상 정보는 물론 숙박 장소 및 일수, 퇴실 시간 등 민감성 정보와 제휴업체들의 계좌번호까지 99만명· 341만8998건 정보가 일시에 털렸다.

웹호스팅업체의 경우에도 최소의 노력으로 최대 효과를 노릴 수 있어 해커들의 단골 먹잇감이 되기 십상이다. 실제 웹호스팅 업체를 겨냥한 디도스 공격 사례도 빈번한 것으로 전해졌다. 국내 웹호스팅 업체가 랜섬웨어 공격을 받아 몸값을 지불했다는 사실은 업계의 공공연한 비밀로 회자되고 있다.

보안투자 의무 대상과 기준을 이전보다 엄격하게 용해야 한다는 목소리가 나온다. 하지만 규제를 강화할 경우 창업 생태계가 교란될 수 있다는 지적도 있다. 업계의 한 관계자는 “보안의 중요성을 강조하는 것도 중요하지만 보안에 투자할 여력이 없는 사업자들에게 이는 희망사항 일 뿐”이라며 “보안을 강화하는 기업들에게 지원 혜택을 더 주는 식의 방법도 고민해야 할 것”이라고 말했다.

  • 0%
  • 0%


오늘의 주요뉴스



베스트클릭

실시간 급상승

10.0초

5분간 수집된 조회수 기준

오늘의 운세

많이 본 뉴스