실시간
뉴스

법제도/정책

해커 먹잇감 웹호스팅 기업, 정부서 개선방안 내놓는다

[디지털데일리 최민지기자] 웹호스팅 기업을 향한 해커들의 공격이 지속되는 가운데, 정부에서 정보보안 대책방안을 마련하고 있다. 웹호스팅 서비스의 정보보안 실태 및 현황조사를 내달까지 마친 후 법·제도를 포함한 개선방안을 구축하겠다는 방침이다.

최근 웹호스팅 기업들은 해커들이 노리는 표적으로 부상했다. 지난 6월 인터넷나야나는 지능형지속위협(APT)과 랜섬웨어를 결합한 공격을 받아 5496개 홈페이지 장애를 빚었다. 인터넷나야나는 고객사 피해를 복구하기 위해 해커와 협상, 13억원 상당의 비트코인을 해커에게 전달한 바 있다.

웹호스팅 기업만 공격하면, 이곳을 통해 서비스하는 수천개의 고객사 홈페이지까지 함께 영향을 미칠 수 있어 해커 입장에서는 일타쌍피의 효과를 거두는 셈이다. 지난 6일에는 코리아IDC를 이용하는 서버호스팅과 코로케이션 일부 서버가 랜섬웨어에 감염되는 사건도 발생했다.

국내 웹호스팅 기업은 총 200여개곳으로 추산되고 있으나, 전기통신사업자로 신고만 하면 누구나 사업을 할 수 있는 만큼 정확한 수에 대한 집계조차 어려운 상황이다. 상당수가 영세 사업자로 보안에 대한 조치도 미비하다.

이에 과학기술정보통신부(이하 과기정통부)는 호스팅 서비스 사업자를 대상으로 한 정보보안 실태·현황을 조사하고 예방·대책방안을 강구하는 정책연구 용역을 시행, 내달까지 결론을 도출키로 했다. 연구결과에 따라 법 개정 또는 시행령, 제도개선 등을 통해 보안제도를 정비한다. 의무화 방안까지 논의하겠다는 계획이다.

신홍순 과기정통부 사이버침해대응과 사무관은 “인터넷나야나 사고 이후 호스팅 사업자 대상의 보안정책 필요성을 인정하고, 개선방안을 만들고자 한다”며 “호스팅사는 다단계 형태처럼 재임대의 재임대 구조를 보이고 있어 계약관계와 현황부터 파악하는 것이 우선이며, 내달까지 실태·현황조사를 마칠 것”이라고 말했다.

또 “보안조치 의무화는 방향성 정도로 아직 확정되지 않은 사항이지만, 연구결과에 따라 필요하다면 의무화를 위한 법 개정을 추진할 수도 있다”며 “사업자 측의 이야기도 들으면서 필요한 부분이 무엇인지 지원방안도 협의할 계획”이라고 덧붙였다.

웹호스팅 시장은 가격경쟁이 심화된 상황으로 상당수 기업들은 보안서비스까지 안정적으로 제공할 수 있는 환경조성이 마련돼 있지 않다. 특히, 영세 사업자들이 많고 오랫동안 시장구조가 고착화돼 있어 정부에서 이 문제를 어떻게 해소할지 고민 중이다.

또한, 웹호스팅 기업들은 해킹사고 후 사업자 관리 범위를 벗어난 부분까지 화살을 받아야 하는 부분에 대해 토로하고 있다. 장소와 회선만 제공하는 코로케이션 서비스를 이용하면 고객 스스로 관리의 책임이 있지만, 사고가 나면 호스팅하는 사업자들이 전면에 등장하는 경우도 나타난다. 이번 코리아IDC 랜섬웨어 사태가 대표적인 케이스다.

이동근 한국인터넷진흥원(KISA) 침해사고분석단장은 “지난 인터넷나야나의 경우 관리하는 호스팅 사업자 측에 문제가 생긴 사건이지만, 이번 코리아IDC의 경우 코로케이션 서비스라 회선, 공간 등만 제공하는 전세와 같은 형태이기 때문에 고객들의 관리 문제로도 볼 수 있다”고 설명했다.

과기정통부는 웹호스팅 사업자와 논의를 지속하면서 취약점 점검 지원 등을 지속적으로 제공하고 지원방안을 확대하기 위한 노력을 계속 하겠다고 밝혔다.

신 사무관은 “재원확보와 제도개선을 병행하고, 취약점 점검 등 호스팅 사업자들의 정보보안을 도울 수 있는 지원을 계속하겠다”고 전했다.

한편, 고객정보와 다량의 데이터베이스를 보유한 웹호스팅사에 대한 공격이 지속되고 있는 만큼, 서버 관리 계정은 기존의 ID·비밀번호에 의존하지 말고 일회용비밀번호(OTP) 등 추가인증을 도입하고 백업을 반드시 실시해야 한다.

이 단장은 “아무리 비밀번호 숫자를 복잡하게 설정해도 언제든 유출될 수 있다”며 “접근하는 IP를 통제해도 이 부분까지 해킹할 수 있기 때문에 서버 관리 계정에 대한 추가 인증을 적용하고, 백업은 필수”라고 강조했다.

<최민지 기자>cmj@ddaily.co.kr

디지털데일리 네이버 메인추가
x