최근 등장한 신종 해킹수법은 방화벽이나 침입탐지시스템(IDS) 등 보안시스템을 무력화할 수 있어 보안담당자를 긴장시키고 있다. 보안상의 취약점을 안고 있는 웹의 허점을 노린 해킹기법이 쏟아지고 있지만 이를 차단할 수 있는 방패는 허술하기 짝이 없다. 전문가들은 "기업들이 폐쇄적으로 운영하던 사내전산망을 웹으로 전환하고 있는데다 인터넷 사용이 보편화되고 있는 추세여서 해킹피해는 갈수록 커질 수밖에 없다"고 지적한다. ◆인터넷, 더 이상 안전하지 않다=인터넷 사이트의 게시판이나 e메일을 활용해 순식간에 개인정보를 빼내가는 신종 해킹수법이 판을 치고 있다. '웹해킹'이라 불리는 신종 해킹수법은 다양한 경로로 인터넷 사이트에 침투, 네티즌의 개인정보를 탈취하거나 데이터베이스(DB)를 빼내갈 수 있다. 경우에 따라선 시스템을 파괴시켜 버리기도 한다. 보안전문가들은 "최근 잇따라 발생하고 있는 해킹사건은 새롭게 떠오르고 있는 '웹해킹' 수법을 활용한 것"이라고 말했다. 해커들의 가장 대표적인 표적은 DB가 담겨있는 서버가 아니라 웹사이트상의 '게시판'이다. 포털 등 인터넷 사이트의 게시판에 글을 올리면서 프로그램상의 오류를 찾아주는 해킹프로그램을 첨부파일로 위장해 놓는 교묘한 방법을 쓰고 있다. 이를 통해 게시판 프로그램을 조작한다. 크로스 사이트 스크립팅(XSS), 보드해킹, SQL인젝션 등이 바로 게시판을 표적으로 삼는 신종 웹해킹 방식이다. SQL인젝션은 최근 결혼정보업체 듀오 사이트를 공격할 때 사용된 파괴력이 큰 해킹기법이다. '데이터 시프(thief)'라는 프로그램을 공격대상 사이트 내에 심어 놓고 개인정보를 빼내거나 시스템에 치명타를 주기도 한다. XSS는 e메일이나 게시판을 통해 개인정보를 탈취하는 해킹기법으로 흔히 사용된다. 메일이나 게시판 글을 클릭하기만 하면 ID를 비롯한 주요 개인정보가 해커에게로 넘어간다. 3년 전에는 국내의 한 해커가 인터넷 포털 네이버를 XSS기법으로 공격했다고 공공연하게 밝혀 파문이 일기도 했다. 해커 출신인 A씨는 "해커들 사이에선 게시판이 있는 인터넷 사이트는 손쉽게 침투할 수 있다는 점이 널리 알려져 있다"고 털어놨다. 그는 "웹애플리케이션을 이용해 해킹을 시도할 경우 방화벽 등 기존 보안시스템으로 차단하기가 쉽지 않고 보안담당자마저 자신의 홈페이지가 해킹당했다는 사실을 눈치채지 못하게 만든다"고 말했다. ◆넘쳐나는 해킹 프로그램=근본적인 해킹 예방책은 없는 상황인 반면 프로그램은 인터넷에서 누구나 손쉽게 구할 수있을 정도로 넘쳐난다. 네이버 야후코리아 엠파스 등 검색포털에서 '해킹'을 검색하면 다양한 해킹 프로그램에 관한 정보가 뜬다. 해킹방법까지 자세하게 알려주는 사이트가 곳곳에 널려 있다. 음성적으로 운영되고 있는 해킹 관련 사이트도 수천개에 이를 것으로 추산된다. 다음 카페 등 인터넷 커뮤니티에도 해킹 관련 동호회가 많다. 다음카페의 경우 해킹 관련 동호회가 2백50개에 이른다. 이들 사이트나 동호회는 건전한 모임이 대부분이지만 언제든 크래커(악의적인 해커)로 돌변할 수 있는게 문제다. 해킹 프로그램의 상당수는 설치만 하면 자동으로 실행돼 초보자들도 쉽게 사용할 수 있다. 해킹에 대한 윤리의식이 없는 중·고생들이 호기심을 못이겨 해킹을 시도하는 사례가 빈번한 것도 이 때문이다. 임병동 인젠 사장은 "웹사이트 관리자가 꾸준히 새로운 해킹 패턴을 파악해 대처하지 않으면 해킹을 막을 방법이 없다"고 말했다. 그는 "개인과 기업의 정보보호를 위해를 정부가 나서서 중·장기적인 지원대책을 수립하고 국가적인 재난에 대비한 대응체계를 보다 철저히 확립해야 할 때"라고 지적했다. 박영태 기자 pyt@hankyung.com