웹사이트의 해킹, 그 중에서도 대기업이나 커다란 조직에서 운영하는 웹사이트의 해킹은 조금은 뉴스거리가 됩니다.
“어디어디~ 웹사이트가 해킹됐대~”라는 이야기가 바로 그런 경우죠. 하지만 널리 알려지지 않은 대부분의 홈페이지 해킹사건은 일반인들의 제보 혹은 내부인력의 제보에 의해 금방 조치가 되는 경우가 대부분입니다. 해킹당한 웹사이트에 접속했다가 자신 컴퓨터가 피해를 당했음에도 해당 웹사이트의 운영주체에게 전화걸어 조금의 투정(?)을 부리는 정도로 항의하고 끝내는 경우도 많습니다. 하지만 가끔은 피해보상을 요구하기도 하는 “개인”이 있기도 합니다.
그리고 어떤 보안기업은 이런 웹사이트의 해킹을 마케팅에 이용하기도 합니다.
일부 보안 전문 회사를 자칭하는 기업들은 중소규모 홈페이지를 자신들 스스로 모니터링합니다. 널리 알려지거나 인터넷에 공개된 홈페이지의 URL 모니터링을 통해 웹사이트의 HTML 페이지를 주기적으로 호출하고 해킹여부를 모니터링합니다. 한국인터넷진흥원이나 금융보안원, 국가정보원 그리고 각 산업분야마다 각출과 정부지원을 통해 설립한 몇몇 ISAC이 그런일을 합니다만 이 보안회사들은 돈을 받지 않고… 해당 홈페이지 운영주체에게 알리지도 않고 홈페이지이 해킹 여부를 모니터링합니다.
좋은 일 아니냐구요? 보는 관점에 따라 좋은 일이라고 볼 수 있습니다. 하지만 이들이 홈페이지의 해킹을 발견하고 해당 홈페이지의 운영자에게 알리기 까지만 좋은 일이겠죠. 그들의 의도와 상관없이 말이죠.
이들은 해킹당한 해당 홈페이지에 대한 취약점을 조치해 주겠다고 하고 당연히 비용을 요구하죠. 여기까지는 넉넉한 마음으로 마케팅 차원으로 이해할 수 있습니다. (사실 이 부분도 저는 좋지 않은 의도라도 생각합니다만…) 문제는 이후에 발생합니다.
많은 기업들은 이런 요구를 거절합니다. 해킹사실을 알려준 것은 고맙지만 스스로 조치하겠다는 것이죠. 그런데 그 이후 어쩐 일인지 홈페이지 해킹 사실이 인터넷 언론에 전달되고 뉴스로 인터넷에 공개됩니다. 그리고 그 뉴스에는 해당 보안기업의 이름이 공개됩니다.
실제로 예전에 홈페이지의 변조공격을 당해 큰 피해를 본 기업으로부터 서버보안SW(RedCastle SecureOS)의 BMT를 의뢰받고 진행하던 중에 위와 같은 보안기업이 있다는 사실을 알게 되었습니다. 해당 기업의 담당자는 “격분”에 가까운 어투로 “협박”을 받았다고 흥분하면서 이야기를 했습니다.
사실 그 이후에도 종종 해당 보안기업이 제보한 것으로 의심되는 특정 웹사이트의 해킹보도를 여러차례 접할 수 있었습니다. 그리고 요즘도 특정 웹사이트(중소규모 홈페이지)가 해킹되었다는 뉴스기사가 인터넷에 보도되면 절반이상은 해당 보안기업의 이름이 언급됩니다. 그것이 우연일 수도 있겠죠.
그런이들이 있다면 해킹을 일삼는 나쁜 해커들과 무엇이 다른지.. 잘 모르겠습니다.