좀비 PC 공격대상 ‘웹하드ㆍP2P업체’ 공공의 적 되나

보안불감증 심각, 악성코드 유포 주범

▲지난 2009년 7월 29일 구로디지털단지에서 진행한 ‘불법 소프트웨어 없는 세상 만들기 캠페인’ 현장사진. (출처=한국소프트웨어저작권협회)

3.4 디도스(DDos) 공격을 위한 악성코드 전파 경로가 일부 웹하드 업체로 알려지면서 보안성과 정보보호가 취약한 웹하드에 대한 우려의 목소리가 높아지고 있다.

10일 관련업계에 따르면 웹하드 및 P2P는 국내 콘텐츠 산업의 수익구조를 악화시킬 뿐 아니라 보안관리가 제대로 이뤄지지 않아 ‘공공의 적’으로 지목되고 있는 것.

고비는 넘겼지만 지난 3.4 디도스 공격으로 인해 하드디스크가 손상된 PC 신고건수는 618건(9일 오후 3시 기준)에 달할 정도로 피해가 급속히 늘어났다.

특히 이번 공격은 웹하드업체들이 무료로 보안검사를 해주겠다는 정부 제의를 무시하는 바람에 화를 키웠다는 것이 드러나면서 비난의 화살이 쏠리고 있다. 정부, 웹하드 업계, 소비자를 아우르는 특단의 대책이 필요하다는 것이 업계의 중론이다.

◇ 웹하드 업체의 ‘보안불감증’=웹하드 서비스는 데이터를 업로드하고 다운로드할 수 있는 공간을 제공해 주는 웹서비스다.

문제는 웹하드에서 파일을 내려 받기 위해 필수적으로 설치해야 하는 액티브 엑스(Active X)가 바이러스나 악성코드의 온상이라는 것. 액티브 엑스는 마이크로소프트(MS)의 인터넷 익스플로러에서 작동하는 프로그램으로 서비스 이용에 필요한 프로그램을 자동으로 설치해 주는 역할을 한다.

방송통신위원회와 한국인터넷진흥원에 따르면 지난 4일과 5일에 걸친 세 차례의 디도스 공격에 동원된 좀비PC의 하드디스크 손상사례는 400건(7일 오후 8시 현재)에 육박하며 디도스 공격을 위한 악성코드 전파 경로는 일부 웹하드업체였다.

악성코드 제작자는 국내 웹하드 사이트의 업데이트 서버를 해킹해 3.4 디도스 관련 악성코드 파일을 올려놓았고 웹하드 이용자들이 웹하드 업데이트로 파일을 내려 받을 때 악성코드가 함께 설치돼 디도스 공격을 실제로 수행하게 되는 좀비PC가 된다는 것이 보안전문가들의 설명이다.

현재까지 알려진 것에 의하면 3.4 디도스 악성코드 파일을 유포한 국내 웹하드 사이트는 쉐어박스, 슈퍼다운, 파일시티, 보보파일, 지오파일 등 5개 사이트다.

수정된 악성코드의 재배포 역시 초기 배포와 유사한 웹하드 클라이언트 해킹을 통해 이뤄졌는데 초기 악성코드 배포 후에도 웹하드 업체들의 보안관리가 전혀 이뤄지지 않아 ‘보안불감증’이 심각하다는 지적이다.

이스트소프트 관계자는 “웹하드가 주로 공격 대상이 되는 이유는 웹하드 업체들이 대부분 영세한 규모로 운영되고 있어 자사의 파일 다운로드 클라이언트의 보안성을 검증할 만한 여력이 없는 경우가 많고 시중에 무료다운로드 쿠폰을 통해 많은 PC 사용자들을 손쉽게 유치해 액티브 엑스 방식의 클라이언트를 설치하고 있기 때문”이라고 설명했다.

박철순 방통위 네트워크정보보호팀장도 “웹하드 취약성이 높다는 이야기가 한국인터넷진흥원에서 먼저 나왔고 무료로 보안검사를 해주겠다고 권고했지만 응하는 업체가 없었다”면서 “정부 입장에서는 법이 없기 때문에 강제할 수 있는 부분이 아니”라고 말했다.

이에 따라 방통위는 악성코드 유포의 주범인 액티브 엑스를 사용하지 않고 일반 웹 표준을 사용해 서비스를 구현할 수 있는 방안을 이르면 이달 중 마련할 방침이다.

◇불법 콘텐츠의 온상=웹하드 및 P2P를 통한 불법 콘텐츠 복제 역시 문제로 지적되고 있다.

한국저작권단체연합회와 저작권보호센터가 발간한 ‘2010 저작권 보호 연차보고서’에서 2000년대 이후 국내 영화의 매출구조를 살펴보면 1차 시장인 극장수입이 74%~79.8%까지 차지하지만 2차 시장 규모는 30%를 채 넘지 못하는 것을 알 수 있다. 이는 1차 시장에서 소비된 후 2차 시장의 수요로 연결되지 못하고 불법 콘텐츠 시장을 통해 흡수된다는 것을 여실히 보여준다.

지난해 소프트웨어(SW) 온라인 불법복제 피해액은 약 3026억원으로 사상 최대였으며 이 가운데 웹하드 등 온라인 서비스제공업체(OSP)에서 발생한 피해액이 91%인 2931억원으로 전체의 91%에 다다랐다.

또 웹하드 등 OSP에서의 불법게시물 수는 9만2915건으로 2009년 5만223건보다 85% 증가해 웹하드가 온라인 소프트웨어 불법복제의 주범으로 드러난 것.

한국소프트웨어저작권협회 김은현 부회장은 “이번 온라인 모니터링은 모든 업-다운로딩 가운데 일부분을 반영한 것으로 드러나지 않은 피해 규모는 훨씬 클 것으로 짐작된다”면서 “사용자의 소프트웨어 정품 이용 인식의 변화와 관계 당국의 적절한 조치가 절실하다”고 말했다.

국회 문화체육관광방송통신위원회 소속 한선교의원(한나라당)이 지난해 11월 ‘악성프로그램 확산방지 등에 관한 법률안’을 대표 발의해 입법절차에 돌입했지만 다른 법안에 밀려 빛을 보지 못했다.

한국음악콘텐츠산업협회 최광호 사무국장은 “웹하드는 옥션이나 지마켓과 같은 오픈마켓이므로 인터넷상거래의 기본원칙들인 판매자(업로더)정보공개와 안전결제 등 소비자(다운로더)보호조치 등이 필수적이며 저작권자로부터 판매허락을 받은 콘텐츠만 유통시키도록 해야 음란물과 불법복제의 문제가 해결된다”고 강조했다.