금융결제원 홈페이지도 손쉽게 뚫려 관리자 아이디(ID)가 순식간에 해커의 손에 넘겨질 정도다. 금융결제원 홈페이지(www.kftc.or.kr)에 접속하기 전 인터넷 익스플로러 도구 메뉴에서 '인터넷옵션->보안->사용자정의수준' 순으로 클릭하고 '스크립트 사용안함'란에 체크한 뒤 확인을 누른다. 이후 결제원 웹사이트 주소를 입력하고 뒷부분에 관리자를 뜻하는 '/adxxx'을 추가 입력하면 관리자 권한으로 곧바로 접속이 이뤄진다. 이런 절차에 따라 사이트에 접속하면 누구라도 인터넷상의 자료를 열람하거나 변조ㆍ삭제할 수 있다. 보안전문가 C씨는 "화면 아랫부분의 관리자 수정ㆍ삭제란을 클릭하고 새로 뜬 화면에서 관리자 수정 버튼을 누른 뒤 오른쪽 마우스를 클릭, 소스 보기를 누르면 놀랍게도 관리자의 사번과 패스워드가 나타난다"고 설명했다. 웹사이트 관리자의 아이디와 패스워드가 무방비로 노출되고 있는 셈이다. 이 정도면 해커들이 자료를 위ㆍ변조할 수 있게 된다. 이같은 사례는 지난23일 새벽 새만금 삼보일배 홈페이지(www.3bo1bae.or.kr)와 환경운동연합 홈페이지(www.kfem.or.kr)에서 실제로 일어났다. 이로 인해 DB용 서버가 해킹을 당했으며 해커가 슈퍼 유저 패스워드를 바꿔 놓는 바람에 홈페이지 관리자조차 서버에 접근하지 못하는 사태가 벌어졌다. 이날 두 홈페이지는 오후 늦게까지 마비됐다. 보안전문가 B씨는 "이같은 문제도 자바 프로그램의 구조적인 보안 취약점 때문에 생긴다"고 말했다. 그는 "개인 사용자가 인터넷 익스플로러 메뉴를 조정해 자바의 인증프로그램을 사용하지 않는 것으로 인식하게 만들면 해당 인증 프로그램은 무용지물이 돼 해커들이 활동할 수 있는 공간이 넓어진다"고 설명했다. 보안 전문가들은 대규모 금융거래를 전담하는 기관의 웹사이트에 문제가 있다는 사실이 믿어지지 않는다면서 한결같이 "시스템을 대폭 보강해야 한다"고 역설했다. 김남국 기자 nkkim@hankyung.com