우연히 검색하다가 취약성 웹사이트를 찾았다면 여러분은?

지난 10일간 국내최대 보안커뮤니티 '보안인닷컴(http://www.boanin.com )에서는 흥미있는 주제를 가지고 회원들에게 설문조사를 실시 하였다. 주제는 "우연히 검색하다가 취약성 웹사이트를 찾았다면 " 어떻게 할 것인가에 대한 주제이다.

이에 다양한 응답이 나왔는데 한번 살펴 보기로 하겠다. 우리가 한번쯤 생각해 보아야 할 문제점들이 있다는 사실을 알게 될 것이다.

알려주어야 한다는 입장이 조금 많긴 하지만 무시해야 하는 입장도 팽팽해                        

위 응답으로 보면 가장 많이 응답한 내용은  [해당 사이트 담당자에게 연락하여 취약점을 알려준다]라는 응답이다. 아마도 가장 일반적이고 바람직한 응답이 아닐까 생각이 된다. 하지만  [취약점을 발견했지만 제보하기도 귀찮고 괜히 엮이기도 싫어서 무시한다]라는 답도 생각보다 많이 있다는 사실이다..

일부 댓글을 단 사람중에 한번쯤 해당 사이트 담당자에게 연락하여 취약점을 알려준 경험이 있는 사람들은 고마움 보다는 오히려 의심 받는 사례가 많다고 실토 하였으며, 심지어는 욕을 하는  경우도 있다고 하였다. 이에 필자는 다른 많은 사람들에게 이와 관련된 질문을 해 보았다. 두가지 측면에서 고려해 봐야 할 것이다.

• 담당자 혹은 기관에 알려주는 입장 - 추후 취약점으로 인한 더 많은 피해가 있기 떄문에 담당자나 관련기관에 알려주어 조치를 취해야 한다. 하지만 처리속도가 늦고, 이러한 취약점이 외부로 알려질 경우 담당자 문책이나 책임이 있을 경우 피해가 담당자에게로 간다.
• 취약점 사이트 담당자 입장 - 우연히 발견 하였다고는 하지만 어떠한 상황후에 알려주는지 알지 못하여 혹시 여러가지 도구나 툴을 이용하여 검색시에는 현행법상 불법이므로 처벌을 받을 수 있고, 또한 어떠한 책임과 권한도 없기 때문에 함부로 취약점 사이트를 검색하면 안되고, 만약 신고한 사람이 있다면 한번쯤 의심해 볼수 밖에 없다.

이런 두가지 팽팽한 입장이 있을 수 있다. 최근 이런 설문을 한 그 배경에는 한 아는 지인이 우연히 취약성 사이트를 발견하였는데, 어떻게 해야 할지 모른다는 이야기를 전해 와서 직접 알려 주거나 아니면 관련기관에 알려서 조치를 취할수 있도록 조언을 주고 최종 판단은 본인이 하라고 이야기 한 적이 있다. 그렇게 이야기하고도 웬지 개운한 느낌이 없어 다른 사람들은 어떻게 생각할까라는 판단에서 설문을 시작해 보았다.

그런데, 대부분 이런 경험을 한 사람들은 무시하라고 이야기를 하고 있다. 그 이유는 담당자에게 보안관련 취약성이 발견되었다고 이야기 해도 권한과 책임있는 곳에서 이야기 하는 것이 아니기 때문에 신뢰 할 수 없다는 이야기이다. 괜히 이야기 했다가 의심만 받을 경우 피곤하기만 하다는 이야기이다. 그러니 굳이 이야기 할 필요가 없고 그냥 무시한다는 것이다.

개선하고 수용하여 빠른 대안을 보다는 우선 의심부터 하는 풍조 만연 고쳐야돼

필자는 여러가지 입장을 고려 하여 다음과 같은 결론을 내려 본다. 인터넷은 이제 국내에서만 접근하는 곳이 아니다.해외에서도 얼마든지 접근 할 수 있고, 이러한 취약점이 노출이 되어 악용이 된다면 더 큰 피해를 볼 수 있다. 침해사고가 생긴후에 조치를 취하는 것은 과거 10년전이나 지금이나 모두 동일하다. 그러면서 아직도 피해를 입는 것은 과거의 처리방식을 그대로 고수 하기 때문이다. 이제는 그 패러다임이 바뀌어야 한다. 즉, 사전 조기예방을 하고 조기경보를 해야 하는 것이다.  

취약점이 발견이 되어 제보를 하는 사람이 있다면 신분과 어떠한 경로로 알게 되었는지를 확실하게 확인한 뒤 , 제보해 줌에 감사하고, 빠른 대안과 조치를 취하는 분위기가 형성이 되면 어떨까 하는 생각이 든다. 물론 어떤이는 오지랖 넓게 왜 그렇게 나설 필요가 있느냐고 말하는 사람이 있을 것이다. 하지만 길을 가다가 병이 들어 쓸어져 있는 노인이 있다면 당연히 보살펴 주고 빠른 조치를 취해주어야 하는 것이 바람직한 도리일 것이다. 일상적으로는 그냥 지나칠수 있지만 말이다. 그렇지 않는 것을 올바른 보안문화로 정착 시켜 나가야 하는 것중에 하나가 바로 '보안인닷컴'의 또 다른 의무일지도 모른다. 괜히 나섰다가 피해를 본다기 보다는 조금 더 나은 대한 민국 보안 발전을 위하여 관련기관이나 담당자에게 잘 이야기 하고 설득하여 전달하고 또한 해당 담당자는 무조건 의심하기 보다는 취약한 웹사이트 노출이라는 팩트에 더 포커스를 두고 빠른 조치와 대안을 모색하는 것이 바람직 한 일이 아닐까 생각해 본다. @엔시스.