언뜻 들으면 엉뚱하고 장난으로 치부할 수 있지만, 실제 해킹을 통해 사이트 보완과 해결방법까지 제시해주는 해커들이 만든 보안컨설팅업체의 사업이다. 물론 이런 작업은 비밀리에 이뤄진다.

패닉시큐리티(대표 신용재, www.panicsecurity.com)는 해커들이 모여 만든 회사로 지난해 8월 보안업체들에 흩어져 일하던 해커들이 뜻을 모아 설립했다. 그 이전에도 해킹을 연구하는 동호회 형식의 친목모임이 있었다. 그 모임의 이름이 패닉시큐리티였다.

이곳의 해커들은 사회에서 자신들을 부정적으로 보는 것을 싫어한다. 전산망을 뚫어 허점을 발견하고 흔적을 남기는 등 실력을 과시하지만 데이터를 지우거나 시스템을 다운시키는 피해는 입히지 않는다는 것. 이런 피해를 입히는 사람을 해커와 구분해 '크래커'라 부르고 있다. 그래서 해커들은 자신을 '하얀 모자'라 부르고 크래커는 '검은 모자'라 부르기도 한다.

신용재 패닉시큐리티 대표는 "지난해 정부기관과 언론사, 주요 기업들의 사이트가 잇따라 해킹당하는 등 갈수록 웹해킹이 빈번하게 일어나 좀더 체계적이고 조직적인 해결방법을 찾자는 논의를 하다가 결국 회사를 만들게 됐다"고 말한다.

주요 사이트들이 해킹당해 데이터가 왜곡되고 서비스가 중단되는 피해도 문제지만 요즘은 인터넷이 내부 전산망에도 활용되기 때문에 기업의 인트라넷이나 웹기반 데이터베이스에 담긴 자료들도 얼마든지 해킹당할 수 있다는 것.

보안업계에서 활약하던 해커들이 회사를 만들자 소문을 듣고 여기저기서 해킹의뢰가 들어왔다. 지난 6개월간 정부기관 통신회사 금융기관 보험회사 대기업 등 7,8군데 사이트의 취약점을 분석해 컨설팅을 해주었다.

패닉시큐리티는 이를 토대로 웹사이트 취약점 자동분석도구인 '피에스스캔웹'(PS ScanW3B)을 개발해 작년말부터 보급하고 있다. 이 소프트웨어는 웹 어플리케이션 소스 코드를 자동으로 분석한 뒤 취약점을 찾아내는게 특징.

외국 제품은 더러 소개된 적이 있지만 국내 개발자들이 우리 실정에 맞춰 개발한 제품으로는 처음이다. 국내 사이트에서 많이 사용되는 스크립트와 플래시에 대한 취약점도 쉽게 분석할 수 있다. 공격자의 입장에서 개발됐기 때문에 사이트를 개편할 때마다 이 소프트웨어를 한번씩 돌려보면 약점을 자동으로 찾아낼 수 있다.

패닉시큐리티는 올들어 급속하게 확산되고 있는 '산티'(Santy)웜에 대한 취약점을 확인할 수 있는 스캐너도 무료로 배포하고 있다. 산티웜은 PHP(홈페이지를 만들 수 있는 프로그래밍 언어)로 된 인터넷 사이트를 공격, 웹사이트를 변조시키는 웹서버 공격전용 악성코드다.

국내 인터넷 사이트들은 외국 사이트에 비해 훨씬 복잡하고 수준 높은 서비스를 제공하기 때문에 해커들 입장에서 보면 오히려 침투하기 쉽다. 프로그래머들이 고객의 요구에 따라 다양한 서비스를 웹사이트에 반영하고 사이트도 자주 개편하지만 이 과정에서 보안문제에 허점이 생길 가능성이 그만큼 커진다는 것. 이 때문에 국내 사이트들이 자주 외국 해커들의 표적이 되고 있다고 한다.

반면 국내 사이트 운영자들의 웹해킹에 대한 대비는 아직 허술하다. 신용재 대표는 "모의해킹의 경험이 많은 회사 구성원들에 의하면 해당 기관의 규모가 크고 작고를 막론하고 대부분 웹해킹에 노출되어 있는 실정이며, 이는 방화벽이나 침입탐지 등의 보안 제품을 맹신하는 결과이다. 적을 이기기 위해서는 적을 알아야 하듯 웹 보안을 위해서는 웹 해킹을 알아야 하며, 소스 차원에서의 문제점 분석과 해결이 최선의 방법"이라고 말했다.

그는 "민간기업은 해킹을 당해도 기업이 손해 보면 되지만 정부부처 정당 단체 공기업 교육기관 등 공공기관이 해킹을 당하면 그 피해가 국민에게 고스란히 돌아간다"며 “정부 차원에서 웹해킹의 심각성을 인식할 필요가 있다”고 지적했다.

[과학기자협회 미디어리소스발굴자료]