IT 컴퓨팅

웹사이트 해킹, 기자가 직접 해봤다

파이낸셜뉴스

입력 2020.11.08 15:56

수정 2020.11.09 09:41

SSL 인증서 도입 및 HTTPS 적용 필요
보안 교육 중 화면을 캡처했다. 빨간색 밑줄 친 부분이 기자가 설정했던 아이디(ID)와 비밀번호(PW)가 나타난 모습이다.
보안 교육 중 화면을 캡처했다. 빨간색 밑줄 친 부분이 기자가 설정했던 아이디(ID)와 비밀번호(PW)가 나타난 모습이다.
[파이낸셜뉴스] "아이디와 비밀번호를 임의로 작성해서 로그인 해 보세요. 평소에 쓰시는 건 안됩니다."
지난 4일 경기도 판교 SK인포섹 본사에서 보안전문가그룹(EQST) 담당 김건엽 수석이 해킹 용어, 원리 등 해킹의 기본 이론에 대한 교육 세션을 진행했다.

이번 교육은 지난달 국감에서 지적받은 사항을 그대로 재연한 것이다. 당시 대법원 통합관리 시스템 홈페이지, 국방부 군무원 채용관리 시스템 등 정부부처 웹사이트가 일반인이 누구나 내려받을 수 있는 해킹 프로그램 설치로 아이디와 비밀번호를 알아낼 수 있어 논란이 된 바 있다.

실제 기자는 기본적인 컴퓨팅 지식이 일반인보다 더 부족한 편이었지만 김 수석의 지도하에 차례차례 몇번의 클릭과 입력만으로 다른 교육참여자가 입력한 아이디와 비밀번호를 추적하는데 성공할 수 있었다.


이를 방지하기 위해서는 SSL 인증서를 도입, HTTPS 적용이 필요하다는 지적이다. 예전에는 웹사이트 주소가 HTTP로 시작하는 경우가 많았는데 요즘 공신력 있는 사이트 대부분은 HTTPS로 시작한다. HTTPS를 통한 인터넷 접속은 브라우저를 실행중인 PC가 해당 사이트의 서버와 암호화 통신을 하고 있다는 것을 의미한다. 보안 프로토콜을 통해 브라우저와 서버가 보안이 향상된 통신을 하는 것이다.

김 수석은 "보통 PC 앞단에 보안 솔루션을 설치해서 악성코드 감시를 한다. 이 솔루션들은 연결된 PC들에게 보안 솔루션이 발급한 인증서를 설치한다.
그러면 직원 PC에서는 좌물쇠 표시가 되며 통신 내용을 회사에서 모니터링 할 수 있다"라며 "이를 통해 정보 유출을 막을 수 있고 악성 트래픽이 발생했을 때 사이트를 차단하는 용도로 쓸 수도 있다"라고 설명했다.

김영배 더불어민주당 의원은 국감에서 공공기관 웹사이트 1210개 중 48.2%인 582곳이 HTTPS보다 보안이 취약한 HTTP 사이트라고 지적했으며 이후 행정안전부는 전체 공공기관 웹사이트를 전수조사하고 HTTPS를 적용하는 등 보안을 강화하는 방안을 검토키로 했다.


김 수석은 "기업에선 웹사이트에 SSL 인증서 도입 및 HTTPS 적용을 통해 해킹을 당하더라도 이용자의 통신내역이 암호화 돼 확인할 수 없게 만드는 조치가 필요하다"라며 "일반 사용자 역시 2차 인증 서비스 등을 사용해 개인정보 유출을 막는 노력이 필요하다"고 말했다.

true@fnnews.com 김아름 기자

fnSurvey