상단영역

본문영역

"아뇨. 웹이 앱보다 위험하죠."

요즘 각종 앱 관련 사고들이 빵빵 터지고 그에 비해 전엔 흔했던 웹사이트 사고 소식은 뜸해 보이니 '앱이 웹보다 위험한 건가?' 뭐 그리 흘러간, 그러니까 "누가 돈을 훔쳤다. 돈이 위험하다!" 이것과 비슷한 흐름 같다. 그러나, 순전히 오프라인에서만 동작하는 단순한 앱이 아니라면 앱은 결국 웹에 연결되고 대부분의 사고는 웹 영역에서 터진다. 최근 떠들썩했던 사고들을 보더라도

종종 알고 지내는 기자들로부터 기술 관련 질문을 받곤 한다. 나도 딱 당신만큼 기술자가 아니라서 함부로 대답할 수 없으니까 뭘 좀 아는 기술자를 연결해 주겠다고 해도 거절한다. 기술자 말은 어려워서 들어도 무슨 말인지 모르겠다고. 기술입국이 선택 아닌 생존인 시절에, 심각한 문제다. 1)기술자들은 비기술자들도 알아듣게끔 쉽게 말하는 방법을 배우면 좋겠고, 2)명색이 기술 전문기자라면 그쯤은 대충이나마 알아듣는 사람이면 좋겠는데, 1)과 2) 둘 다 그리 쉬운 일이 아닌가 보다. 암튼 이번 질문은,

"앱이 웹보다 위험하다고 써도 돼요?"

이런 말 들으면 기분 참, 묘하다. 뭐라 답해야 할지 모르겠다. 우선, '앱'은 소프트웨어인데 '웹'은 정보체계 그리고 망 개념이라 둘의 비교가 애초에 어울리지 않는다 싶고, 따라서 보안 방법도 완전 다르고, '앱'을 원래 뜻 애플리케이션으로 본다 쳐도 요즘 그 말은 특정 모바일 플랫폼에 종속적이고 간단한 기능과 인터페이스를 가진 소규모 소프트웨어의 뜻으로 제한되니 역시 좀 애매하고, '웹'이라 불리는 것의 요소들도 대부분 애플리케이션이라 즉 앱이니, 아니 이걸 어찌 그렇다/아니다 쉽게 대답하겠어,, 대충 "앱이 웹보다 위험한 게 아니라 앱의 위험으로 알려진 사고들의 대부분이 실은 웹의 위험인 거죠." 라고 답하고 만다.

아마 이 정도 뜻으로 하는 말일 거다.

'앱' = 폰에 까는 거

'웹' = PC로 하는 인터넷

요즘 각종 앱 관련 사고들이 빵빵 터지고 그에 비해 전엔 흔했던 웹사이트 사고 소식은 뜸해 보이니 '앱이 웹보다 위험한 건가?' 뭐 그리 흘러간, 그러니까 "누가 돈을 훔쳤다. 돈이 위험하다!" 이것과 비슷한 흐름 같다. 그러나, 순전히 오프라인에서만 동작하는 단순한 앱이 아니라면 앱은 결국 웹에 연결되고 대부분의 사고는 웹 영역에서 터진다. 최근 떠들썩했던 사고들을 보더라도,

"숙박앱이 털렸대! 숙박앱이 위험하다!"

아니다. 웹 해킹이 위험한 거다. 올해 봄에 터졌던 숙박예약 앱 '여기어때' 해킹 사건도 그러하다. 원인은, 처참하다. 또, 이거 정말 위험하니까 정말정말 조심해야 한다고 그렇게나 열심히 떠들었는데 또, 'SQL 인젝션'에 당했다. SQL 인젝션 수법과 그 대비책에 대해선 2년 전 '뿜뿌' 해킹 때 썼던 "아니? 뽐뿌가 SQL 인젝션에 무너졌다고?" 를 보면 그 얼마나 허무한 수법인지 알 수 있다. 그러니 제발, 이러쿵저러쿵 긴 말 쓸데없다 싶고, WAF를 쓰자. 싸다. 사고 터진 뒤 수습 비용에 비하면, 너무 싸다.

"배달앱이 털렸대! 배달앱이 위험하다!"

얼마전 항간에 잠깐 요란했던 '난 단지 치킨을 주문했을 뿐인데' 글이 지적했던 수법 'URL 파라미터 변조' 또한 아주 단순한 형태의 웹 해킹이다. 아니 해킹이라 부를 만한 것도 아니고 정말 단순하게, 브라우저에서 웹사이트 URL 텍스트를 바꿔 입력하는 짓이다. 이거, 옛날에 유료 웹 컨텐츠 공짜로 보려고 URL에 노출된 페이지 넘버만 살짝 바꿔 다음 페이지 넘겨 보던 못된 장난 같은 짓인데, 요즘은 안 통한다. 컨텐츠 팔아서 돈을 벌어야 하니까 다 막았다.

하지만, 돈을 벌어야 하니까 막는다는 말은 다시 말해, 당장 돈이 오가지 않는 곳은 막지 않는다는 뜻이기도 하다. 그러니 그런 초보적 수법에 KT 등 숱한 대기업들, 그리고 작년 가을엔 공기업 코레일까지 당했다. 심지어 문제 많은 주민등록번호를 대체하겠다고 호언장담하던 공공 아이핀 부정발급 사건에도 사용된 수법이다. 이건 뭐, 살얼음판 위를 걷는 듯 정말 무시무시한 사회 아닌가,,

아니, 그런 한심한 짓이 왜 먹히는 걸까. 그 웹사이트 개발자가 정말 순 나쁜 놈이라서 악의적으로 "다 털려라! 다 죽자!" 일부러 구멍을 뻥뻥 뚫어 둔 걸까. 그럴 리가,, 순전히 만악의 근원인 듯싶은 '개발의 효율' 때문이다. 무조건 빨리빨리. 그러니 보안 보안 백날 떠들어 봤자 죽어 봐야 저승을 안다고 사고가 터져 봐야 보안 무서운 줄을 안다. 특히 돈줄 약한 스타트업이 조심할 일이다.

그런데, 소란이 "잠깐"에 그쳤던 까닭도 중요하다. 문제의 위험과 직접 관계도 없는 '배달의민족' 등 업체 PR팀의 빠르고 효과적인 대응은 리스크 관리가 뭔지 제대로 보여 줬다. 칭찬할 일이다. PR이란 일이 기자들 명함 모으며 시시때때로 어울려 밥 먹고 술 마시는 일이 아님을 잘 보여 준 좋은 사례로 남았다.

이렇듯 앱 사고란 게 모두 웹 사고. 그러니, 나도 이래저래 복잡할 것 없이 그냥,

"아뇨. 웹이 앱보다 위험하죠."

이리 답해도 되겠다. 그렇다, 웹이 앱보다 위험하다.

아니 앱이 곧 웹이라고 해야 하려나, 모르겠다. 역시, 기술자들이 나서야.

* 이 글은 IT&보안 잡지 'decodr'에 게재된 글입니다.

저작권자 © 허프포스트코리아 무단전재 및 재배포 금지
이 기사를 공유합니다

연관 검색어 클릭하면 연관된 모든 기사를 볼 수 있습니다

#뉴스 #경제테크 #IT·과학 #보안 #박지훈 #펜타시큐리티 #decodr #웹보안 #앱보안 #인젝션