미래창조과학부가 인터넷 홈페이지 악성코드 감염 여부를 확인하는 악성 홈페이지 체크 프로그램(웹체크) 기능을 인터넷 포털의 툴바에 장착시켜 배포하기로 했으며, 7일부터 NHN 툴바에서 서비스할 계획이라고 6일 밝히면서 찬반 논란이 확대되고 있다.
웹페이지의 보안 취약성을 제거하기 위한 노력이 필요한 것은 맞지만, 민간기업의 솔루션에 정부기관에서 제공하는 보안솔루션을 탑재하면서 민간기업에 특혜를 주는 것으로 보일 우려가 있다는 주장과 함께 ‘보안’이라는 미끼로 특정 기술에 또다시 종속시키려 한다는 비판도 제기된다.
웹 취약성 제거 위한 근본 대책 시급
미래부가 발표한 바에 따르면 한국인터넷진흥원(KISA)이 개발한 악성 홈페이지 체크 프로그램(웹체크) 기능을 민간기업으로 확대 적용할 예정이며, 7일부터 NHN 툴바에 적용된다. 향후 포털과 보안업체로 확대적용될 예정이지만, 현재 이 기능을 사용하겠다고 확정된 곳은 NHN 뿐이다.
웹체크는 이용자가 접속한 웹사이트 위험성을 안내해주는 보안 프로그램으로, 웹사이트에 악성코드가 있거나 피싱위험이 있는 경우 경고화면을 통해 접속을 차단하는 기능을 제공한다.
최근 웹 페이지의 취약점을 악용해 사이트 방문만으로도 악성코드에 감염시키는 ‘드라이브 바이 다운로드’, ‘워터링홀’ 공격이 성행하고 있어 웹 보안 강화를 위한 대책이 시급한 실정이다. 그 방법으로는 시큐어코딩 기술을 이용해 웹 애플리케이션의 보안 취약점을 낮추고, 웹방화벽 등의 보안 솔루션을 통해 취약점 공격을 막는 노력이 필요하다.
그러나 많은 기업/기관에서는 자사 사이트에 보안 취약점이 있다는 사실을 모르고 있으며, 취약점이 있다는 사실을 알고도 조치하지 않는 경우가 허다하다. 자사 사이트에 보안취약점이 없어도 광고배너 등을 통해 악성코드가 유포되는 경우가 있어 문제해결이 쉽지 않은 상황이다.
특정 기술에 종속시키는 부작용 발생 우려
웹체크는 사이트 방문자에게 사이트의 보안성을 보여주어 위험한 사이트에는 방문하지 않도록 하는 효과가 있다. 미래부의 결정을 찬성하는 네티즌은 툴바에서 악성 사이트를 판별할 수 있어 피싱·파밍 공격을 막을 수 있을 뿐 아니라 더 지능화되는 보안위협을 차단할 수 있다는 점을 긍정적으로 보고 있다.
그러나 일각에서는 ‘툴바’라는 특정 기술에 종속시킬 수 있으며, 민간기업의 솔루션을 정부가 나서서 홍보해줄 필요가 있는지 지적하는 목소리와 함께 툴바를 설치한 이용자가 어떤 사이트에 접속하고 있는지 관찰할 수 있어 사찰 등의 우려가 있다는 지적도 제기된다.
보안 업계 전문가는 “웹 보안을 강화하기 위한 대책을 마련했다는 점은 긍정적이지만, 정부가 나서서 민간업체의 솔루션을 홍보하는 방식을 취한다는 것은 문제가 있다고 본다”며 “또한 웹 취약성 제거를 위해서는 사이트를 운영하는 기관에서 보안에 더 많은 투자를 해야 하는데, 사용자의 인터넷 사용습관 개선에만 초점을 맞추는 것은 근본적인 보안 문제 해결에 도움이 되지 않는다”고 지적했다.
