웹2.0 보안대책 시급하다.

요즘 인터넷업계의 최대 화두인 웹 2.0이 보안위협에 매우 취약해 대비책 마련이 시급하다고 파이낸셜타임스(FT)가 8일 보도했다. 웹 2.0은 네티즌이 웹사이트를 직접 제작하고 참여하는 개방성을 특징으로 한다. 구글, 마이스페이스 등의 성공배경에는 네티즌의 자발적 참여를 유도한 웹 2.0 트렌드가 절대적인 영향을 미쳤다. FT는 이같은 웹2.0의 개방성을 악용하는 해커들과 악성바이러스가 창궐하면서 인터넷 보안에 중대한 위협요소로 떠올랐다고 전했다. 특히 웹 2.0기반의 대화형 웹페이지를 구현하기 위해 보안상 취약점이 많은 자바 스크립트의 사용량이 급증한 것이 가장 큰 문제점으로 지적된다. 웹보안회사 브레이킹포인트의 HD 무어는 “자바스크립트의 인코딩하는 방법은 무려 100가지가 넘는다.”면서 “이 때문에 사용자들이 직접 웹사이트에 올리는 수많은 코드 중에서 악성코드를 골라내는 것은 매우 어렵다”고 토로했다.

이러한 웹2.0사이트의 보안상 약점은 악성코드를 침투시키는 크로스사이트스크립팅(XSS)이나 데이터 조작 같은 해킹을 손쉽게 허용하는 결과를 낳았다. 실제로 요즘 해커들의 주타깃은 마이크로소프트(MS)가 아니라 구글, 야후, 마이스페이스처럼 네티즌 참여와 개방성이 높은 웹2.0사이트로 옮겨가는 중이다. 일례로 지난 10월 마이스페이스는 새미라는 19살 소년이 만든 웜바이러스 때문에 곤욕을 치뤄야 했다. 이 소년은 온라인 친구(일촌)를 만들 때 상대방의 허락을 요구하는 관리기능을 무력화시켜 무려 100만명이 넘는 온라인 친구를 만들었다. 호기심에 새미의 프로필을 구경하러온 사람 모두가 온라인 친구로 등록된 것이다. 지난 6월 세계 최대 이메일 서비스업체 야후닷컴은 ‘야매너(Yamanner)’로 명명된 바이러스의 공격을 받아 2억명의 사용자 중 일부가 감염되는 피해를 입었다. 또 지난달 구글의 RSS리더에서도 유사한 보안상 결함이 발견되기도 했다. 과거 웹 1.0환경이라면 상상하기도 힘든 초대형 보안사고가 여기저기서 터지고 있다. 이들 대형 인터넷 업체 이외에 벤처기업들의 상황은 더욱 심각하다. 웹 2.0을 표방하는 대부분의 사이트가 극히 허술하게 만들어져 고객정보가 쉽게 누출되는 등 치명적인 보안상 결함을 갖고 있다는 지적이다. 보안회사 SPI의 빌리 호프만은 “요즘은 일반인도 웹 2.0 관련 서적을 하룻밤 탐독하면 그럴듯한 대화형 웹사이트를 만들어 낸다”면서 “웹개발자들이 해킹에 효과적으로 대응하도록 보안교육을 강화하는 것이 가장 시급하다”고 주장했다. 배일한기자@전자신문, bailh@etnews.co.kr ○ 신문게재일자 : 2006/08/09