[프리즘]피해자와 가해자

피해자는 불법행위나 범죄에 의해 손해를 입은 사람을 말한다. 가해자는 다른 사람의 생명이나 신체, 재산, 명예 따위에 해를 끼친 사람이다.

주말 책 한 권 구입하러 들어간 A사이트. 웹브라우저가 악성코드 위험성을 경고하며 아예 접속을 차단한다. 이곳은 얼마 전에도 똑같은 문제가 발생했지만 여전히 무방비 상태에 놓여 있다.

최근 해커는 보안이 취약한 웹사이트에 악성링크를 몰래 넣어두는 사이버 공격을 주로 쓴다. 일일이 힘들여 스팸을 보내지 않아도 수많은 사람이 단 시간 안에 악성코드에 감염되기 때문이다. 그냥 웹 사이트에 방문만 해도 PC는 악성코드에 감염되고 각종 정보는 해커 손에 넘어간다.

하루에도 수십 곳의 사이트가 이런 공격에 노출된다. 주요 대상은 일일 방문자 수가 많고 보안이 허술한 곳. 해커는 웹 사이트 관리자가 퇴근한 저녁 시간이나 금요일 오후부터 악성링크를 넣어 수많은 좀비 PC를 양산한다.

해커는 지능적이다. A사이트에서 악성링크를 뿌리다 B사이트로 옮겨간다. A사이트는 정상 상태처럼 보이지만 언제든지 해커 공격에 이용될 수 있다. 문제는 이렇게 악성코드 유포에 이용된 사이트의 대응이다.

하나같이 자신들은 피해자라고 주장한다. 해커가 불법적으로 자사 웹사이트를 이용했다는 것이다. 수많은 사이트 중 운이 나빠 해커에게 악용됐다고 변명한다. 바로 보안 조치를 취해 다시는 이런 일이 일어나지 않을 것이란 말도 덧붙이지만 똑같은 일은 반복된다.

과연 이들이 피해자일까. 웹사이트 보안이 철저하다면 해커는 그 사이트에 악성링크를 숨기지 못한다. 보안 관리가 안 된 웹사이트를 방치해 사이버 공격을 증가시킨 명백한 가해자다. 믿고 웹사이트를 방문한 고객에게 악성코드를 덤으로 준 가해자다.

사이버 공격은 운이 안 좋아 받는 것이 아니다. 해커는 철저한 사전답사와 정교한 공격 도구로 오랜 기간에 거쳐 가장 효과적인 통로를 찾는다. 그 통로에 있다는 건 바로 보안이 취약하다는 말과 일맥상통한다. 악성코드를 유포하는 숙주가 돼 버린 웹사이트. 고객의 주요 정보를 해커 손에 내줘 재산상 피해까지 입힐 수 있다. 이제 피해자 코스프레는 그만할 때가 됐다.

SW산업부=

김인순기자 insoon@etnews.com