수협 다음 등 DBㆍ정보 '구멍'‥초보해커에도 쉽게 뚫린다
입력
수정
국내 최대 포털사이트인 다음을 비롯해 수협 금융결제원 등 금융기관의 데이터베이스(DB)나 주요 정보가 초보 해커에게도 무방비 상태로 뚫려 충격을 주고 있다.
이 밖에 상당수 전자상거래 사이트와 인터넷뱅킹 사이트의 보안에도 치명적인 허점이 드러났다.
보안 전문가들은 "자바(컴퓨터 언어의 일종) 기반 웹서비스의 보안성이 취약해 이 같은 일이 벌어지고 있다"며 "정부 차원에서 대책이 마련되지 않을 경우 해커들의 무차별적인 공격으로 지난 1월25일 인터넷 마비사태에 버금가는 제2의 '인터넷 대란'이 생길 것"이라고 경고했다.
25일 보안 전문가들에 따르면 포털사이트 다음의 경우 개인정보 인터넷 사이트 주소(my.daum.net)와 '물음표(?)'를 뜻하는 특수문자 '%3x.xxp'를 인터넷 주소창에 입력한 뒤 몇 번만 클릭하면 보안망이 뚫려 이 사이트 DB에 접근할 수 있는 ID와 패스워드를 구할 수 있는 것으로 나타났다.
일반 가정집에 비유하면 대문은 닫아둔 상태지만 자물쇠를 채우지 않아 도둑이 마음만 먹으면 언제든지 침입할 수 있다는 것이다.
다음뿐만 아니라 수협 같은 금융거래가 가능한 인터넷 사이트 관리에도 큰 허점이 있는 것으로 드러났다.
수협의 경우 'www.suhyup.co.kr/xxxiles'라는 주소만 인터넷 창에 입력하면 여러 디렉토리가 보여지고 이 가운데 'suxxx'와 'sqlxxx.log'를 차례로 클릭하면 수협의 모든 DB에 접근할 수 있는 정보가 노출된다.
수협관계자는 이에 대해 "노출된 정보는 그동안 고객들에게 공개해 왔던 내용이며 인터넷 뱅킹 등 금융거래 시스템과는 무관하다"고 해명했다.
금융결제원도 인터넷 익스플로러의 보안 설정만 바꿔주면 손쉽게 관리자 권한으로 웹사이트에 접근, 자료를 변조하거나 삭제ㆍ수정할 수 있을 뿐 아니라 패스워드 변경까지 가능한 것으로 나타났다.
보안 전문가들은 "이 정도면 해커가 각 사이트의 DB에 접근해 가입 회원과 거래 고객의 아이디와 패스워드를 비롯한 개인정보를 고스란히 탈취할 수 있다"고 설명했다.
이렇게 노출된 개인정보는 다양한 경로로 유통될 수 있어 불특정 다수에게 피해를 줄 수 있다.
특히 금융권 전산망이 공격당하면 대형 금융사고로 연결될 수도 있다.
보안업계 관계자들은 초보 해커들도 PC방 등 인터넷에 연결된 PC를 이용해 DB에 접근할 수 있는 권한을 얻을 수 있을 정도로 허술한 사이트를 쉽게 발견할 수 있다고 증언했다.
김남국 기자 nkkim@hankyung.com