© News1 이은주 디자이너

정부가 지난 9월 발생한 휴대폰 온라인 커뮤니티 '뽐뿌' 해킹과 같은 사태가 재발하지 않도록 온라인으로 정보가 공유되는 커뮤니티 사이트에 대한 보안점검을 내년 상반기에 시행한다.21일 미래창조과학부에 따르면 올 3월 주요 정보통신기반시설을 중심으로 보안 수준을 점검하기 위해 실시한 '사이버안전대진단'에 내년부터는 '뽐뿌'와 같은 각종 커뮤니티도 포함할 계획이다. 정보 공유가 활발해 회원들을 대거 확보하고 있지만 간단한 해킹에도 취약해 회원정보가 유출될 위험이 크다는 판단에서다.

사이버안전 대진단은 사고가 발생하면 대응에 나서는 기존의 '사후·사고시 점검'을 '사전·상시점검' 태세로 바꿔 통신기반시설과 포털, 쇼핑몰 등에 대한 사이버보안 체계를 미리 점검하는 것을 말한다. 지난 3월 400여개 시설을 대상으로 처음 실시했고 매년 상반기 지속적으로 실시한다. 악성코드 유포, 홈페이지 취약점, 사용자 정보유출 여부 등 각종 보안문제를 점검하는 게 주요 내용이다.  

기존 사이버안전대진단은 통신·금융 등 주요 정보통신기반시설, 웹하드업체, 온라인쇼핑몰, 공인인증기관, 포털 등 대형사이트를 대상으로 진행됐다. 미래부는 앞으로 이 사전점검에 뽐뿌와 같은 민간 커뮤니티 등도 포함한다는 방침이다. 기본적으로 준수해야 하는 개인정보보호시스템 구축 및 보호조치 이행 수준 등을 중점적으로 살필 예정이다.

미래부 관계자는 "해킹 사고가 발생하면 바로 초기 대응팀을 보내 사후조치도 하지만 올해부터는 상시점검 체제도 마련해 시행하고 있다"며 "내년 상시점검에는 뽐뿌를 비롯해 회원을 대거 보유하고 있는 커뮤니티들도 포함할 것"이라고 밝혔다. 이어 "한국인터넷진흥원 인력이 파견을 나가 취약점을 파악하고 해킹에 얼마나 노출되는지 등 보안 상태에 대한 무료 컨설팅을 진행한다고 보면 된다"며 "구체적인 대상은 추후 정리해나갈 것"이라고 덧붙였다.지난 9월 11일 발생한 뽐뿌 해킹사건의 경우 해커가 'SQL 인젝션' 수법을 사용해 190만명에 달하는 회원정보를 빼냈다. SQL 인젝션 공격은 SQL 언어를 활용해 데이터베이스에 정상적 자료 이외 해커가 원하는 자료까지 질의해서 답을 받아내는 방식이다. 국제웹보안표준기구(OWASP)에서 2년에 한번씩 발표하는 공격 수법 톱10중 줄곧 3위 안에 포함될 정도로 빈번히 일어나는 기초적 공격방식이다. 200만명에 육박한 회원을 보유한 사이트가 이같은 수법에 당할 정도로 기본적 보안조치에 미흡했다는 얘기다.  

미래부 관계자는 "이번 사건을 조사하면서 민간 커뮤니티가 아주 쉬운 해킹에도 얼마나 취약한지, 이를 통해 얼마나 많은 이용자가 피해를 볼 수 있는지 사태가 심각하다는 것을 알았다"며 "내년 사이버안전대진단에 들어가면 상시 점검 체제가 지리잡을 수 있을 것이며 앞으로도 사이버 공격에 신속히 대응하기 위해 방송통신위원회, 경찰 등 관계기관과 긴밀히 협력해 나갈 계획"이라고 말했다.

한편 방통위는 뽐뿌 운영진에 대해 개인정보 보호조치 위반여부를 확인한 후 조만간 '정보통신망이용촉진및정보보호에관한법률'에 따라 조치할 예정이다. 소명 절차를 진행한 후 구체적 위반 사항과 이에대한 제재 수위 등을 결정할 계획이다.


hkmaeng@