[출처:한국경제]국내 최대 포털사이트인 다음을 비롯해 수협 금융결제원 등 금융기관의 데이터 베이스(DB)나 주요 정보가 초보 해커에게도 무방비 상태로 뚫려 충격을 주고 있다.
이밖에도 상당수 전자상거래 사이트와 인터넷뱅킹 등 상거래사이트의 보안에 치명적인 허점이 드러났다.
보안전문가는 "자바(컴퓨터 언어의 일종)기반 웹서비스의 보안성이 취약해 이같은 일이 벌어지고 있다"며 "정부 차원에서 대책이 마련되지 않을 경우 해커들의 무차별적인 공격으로 제2의 '인터넷 대란'이 생길 것"이라고 경고했다.
25일 보안전문가들에 따르면 포털사이트 다음의 경우 개인정보 인터넷 사이트 주소(my.daum.net)와 '물음표(?)'를 뜻하는 특수문자 '%3x.xxp'를 인터넷 주소 창에 입력한 뒤 몇 번만 클릭하면 보안망이 뚫려 이 사이트의 DB에 접근할 수 있는 ID와 패스워드를 구할 수 있다.
일반 가정집에 비유하면 대문은 닫아 둔 상태지만 자물쇠를 채워두지 않아 도둑이 마음만 먹으면 언제든지 침입할 수있는 상태라는 것이다.
다음 뿐만 아니라 수협 같은 금융거래가 가능한 인터넷 사이트 관리에도 큰 허점이 있는 것으로 드?뎬?
수협의 경우 'www.suhyup.co.kr/xxxiles'란 주소만 인터넷창에 입력하면 여러 디렉토리가 보여지고 이 가운데 'suxxx'과 'sqlxxx.log'를 차례로 클릭하면 수협의 모든 DB에 접근할 수 있는 정보가 노출된다.
금융결제원도 인터넷 익스플로러의 보안 설정만 바꿔주면 손쉽게 관리자 권한으 로 웹사이트에 접근, 자료를 변조하거나 삭제.수정할 수 있을 뿐만 아니라 패스 워드 변경까지 가능한 것으로 나타났다.
보안전문가들은 "이 정도면 해커가 각 사이트의 DB에 접근해 가입 회원과 거래 고객의 아이디와 패스워드를 비롯한 개인정보를 고스란히 탈취할 수 있게 된다 "고 설명했다.
이렇게 노출된 개인정보는 다양한 경로로 유통될 수 있어 불특정 다수에게 피해를 줄 수 있다.
특히 금융권 전산망이 공격당하면 대형금융사고로 연결될 수도 있다.
보안업계 관계자들은 초보 해커들도 PC방 등 인터넷에 연결된 PC를 이용해 DB에 접근할 수 있는 권한을 얻을 수 있을 정도로 허술한 사이트를 쉽게 발견할 수 있다고 증언했다.
인터넷상에서 누구라도 손쉽게 내려받을 수 있는 DB접속프로그램(SQL게이트)을 활용할 경우 이들 사이트의 회원DB에 접근해 관련정보를 빼내거나 수정, 변조 , 삭제할 수 있다.
김남국 기자 nkkim@hankyung.com
한국경제(야후제공)