보안업체 서버가 네이트 해킹에 활용됐다는 경찰 조사 결과가 나오면서 SK커뮤니케이션즈와 이스트소프트 간 책임공방이 전개될 가능성이 커졌다.
경찰은 지난달 28일 3500만명의 개인정보가 유출된 싸이월드·네이트 해킹 용의자가 ‘알약’, ‘알집’ 등 국산 소프트웨어(SW)로 잘 알려진 이스트소프트의 서버를 활용한 것으로 보고 조사를 진행 중이다.
이스트소프트 측은 기업용 알툴즈에는 문제가 없으며 개인용 알툴즈에 보안취약점이 있어 패치를 완료했다고 밝혔다.
현재 경찰 조사 결과가 진행 중이지만 보안 업계에서는 해커가 이스트소프트의 서버를 활용했는지 여부가 관건이 될 것이라고 입을 모았다.
즉, 이스트소프트의 업데이트 서버가 해킹을 당한 것으로 밝혀진다면 궁극적으로 서버가 해커의 손에 들어갔다는 것을 의미하는 것으로 보안의 허점을 드러냈다는 점에서 이스트소프트는 책임을 회피하기 어렵다.
하지만 해커가 서버까지 침투하지 못하고 이스트소프트의 공개용 알툴즈를 단순히 활용한 것이라면 이스트소프트는 피의자가 아니라 피해자일 가능성도 있다는 것이 관계자들의 지적이다.
만일 공개용 알툴즈의 업데이트 내용을 해커가 역공학(逆工學)적으로 분석, 이스트소프트의 서버를 흉내 낸 똑같은 서버를 만든다면 여기에 악성코드를 심어 넣을 수 있다. 또 사용자는 이스트소프트의 서버가 아닌 가짜 서버에서 업데이트 내용을 다운받을 수 있으며 이 과정에서 사용자의 PC는 좀비PC가 되고 해커에 의해 조종당할 수 있는 것이다.
또하나 SK컴즈측이 기업용 알툴즈가 아닌 공개용 알툴즈를 설치했다는 것에 주목할 필요가 있다. 공개용 알툴즈는 정확히 말하면 개인 사용자에게만 무료이며 기업 내에서 사용하면 라이선스 위반으로 불법이다. 기업이 소프트웨어 단속에 걸릴 경우 벌금을 물거나 라이선스를 구입해야 한다.
현재까지 라이선스 위반에 의한 악성코드 감염으로 해킹을 당할 경우 누구의 책임인지 명확한 기준이 없는 실정이어서 앞으로 책임공방은 치열해질 것으로 보인다.
이번 사건으로 인해 1차적인 책임은 보안관계자와 보안관계자를 관리해야 하는 SK컴즈에 있지만 이스트소프트의 SW가 해킹에 활용됐다면 이스트소프트도 책임에서 자유로울 수 없다.
염흥렬 순천향대 정보보호학과 교수는 “기업의 내부 직원이 악성코드에 감염될 개연성은 충분히 있으며 모든 SW를 중앙 집중해서 통제하기는 현실적으로 어렵다”면서 “하지만 DB관리자의 PC까지 감염됐다는 것은 보안대책이 반드시 필요하며 이것은 SK컴즈만의 문제가 아니다”라고 말했다.
그는 “노트북의 경우 소유가 기업인지 개인인지에 따라 다를 수 있는데 핵심은 소유자가 조직이라면 조직의 보안정책을 따라야 한다는 것”이라면서 “조직의 컴퓨터 내에 악성코드가 숨어 있다하더라도 DB 관리자 서버까지 연결되는 코드가 차단됐어야 한다”고 강조했다.