‘악성 사이트 차단’ 만능일까?

2009년 1월 31일 새벽 6시, 구글 검색 사이트 내 모든 사이트가 악성 사이트로 분류되어 접속이 차단되는 사고가 터졌습니다. 이 사고는 단순한 실수로 일어난 것으로 공식 발표 되었지만, 구글 플랫폼의 신뢰도에 대한 파장은 오래갈 것 같습니다.

솔직히 인터넷과 웹의 규모가 급격히 증가하면서 일반 사용자에게 위조 사이트를 제공해 개인 정보를 훔치는 피싱(Phishing)과 악성 코드를 배포해 PC를 감염 시킨 후 좀비 PC로 활용하거나 정보를 훔치는 공격 횟수가 기하급수적으로 늘고 있습니다.

기존의 백신 프로그램은 소프트웨어 바이러스 뿐만 아니라 온라인으로 기 배포된 악성 코드를 치료하는데 중점을 두고 진화해 오고 있습니다. 하지만, 웹 사이트를 연결해 주는 검색 엔진의 경우 피싱 혹은 악성 코드 배포 사이트로 사용자를 보내면 신뢰도에 치명타를 입을 수 있기 때문에 검색 결과에서 미리 차단함으로서 예방적 효과를 거두고 있습니다.

악성 사이트 차단 예방 효과 크다
대표적으로 이번 사건의 주인공인 구글을 들 수 있습니다. 검색 결과에 악성 사이트로 분류된 웹 사이트에 접근 시 “PC에 해를 끼칠 수 있다”는 경고를 해 주고 있습니다. 특히, 파이어폭스의 경우 이런 사이트에 접속 시 아예 차단하는 기능도 제공 하고 있고 이는 사파리와 크롬 같은 웹 브라우저에서도 채용해 사용자를 위한 보안 기능을 제공 하고 있습니다. (안랩 웹 브라우저 보안 기능 기사 참고.)

제게 자주 오는 질문 중 하나가 우리 사이트에서는 그런 적이 없는데 왜 파이어폭스가 차단을 하느냐 하는 것입니다. 한겨레 신문이나 게임 동아, 스포츠 조선 등이 이미 악성 사이트로 진단 됐거나 되어 있는 상태이고, 해외 유명 SNS인 Facebook도 악성 사이트로 표시되기도 했습니다.

악성 코드 사이트를 구분하는 기준은 매우 다양합니다. 구글의 분류 기준은 하버드 대학의 Berkman 인터넷 문화 연구소가 운영하는 비영리 사이트인 StopBadware.org가이드라인을 따릅니다.

본 가이드라인은 악성 사이트에 대해 매우 세밀하게 정의 되어 있습니다. 소프트웨어 개발사가 누구인지 밝히지 않고 디지털 서명이 추가되어 있지 않거나 슬며시 자동 다운로드 시킨다거나 하는 웹 사이트가 1차 대상이 됩니다. 특히 소프트웨어가 악성 코드를 담고 있을 뿐 아니라 웹 브라우저 설정을 건드린다던지 DNA를 우회해서 다른 사이트로 이동 시키거나 다른 프로그램을 차단하는 경우 그리고 사용자 몰래 데이터를 전송하거나 제거가 힘든 경우도 포함하고 있습니다.

따라서 툴바나 메신저 같은 웬만한 온라인 배포 소프트웨어들은 모두 그 대상이 될 수 있습니다. 뿐만 아니라 이런 소프트웨어를 배포하는 사이트로 자동 이동 하거나 파일 배포 사이트에 직접 링크하거나 악성 코드 배포 웹 사이트의 어떤 이미지나 자바스크립트 등을 링크만 하는 경우에도 악성 사이트로 진단 될 수 있습니다.

지금까지 악성 사이트로 지목되고 있는 스포츠 조선의 경우는 악성 프로그램을 배포한 웹 사이트에 파일 링크를 걸었다든지 이를 중계한 웹 사이트에 링크를 걸려 있는 것이 그 이유 입니다. 아마 해킹을 당해 링크가 게시됐거나 사용자 게시판에 악성 코드를 배포했거나 또는 악성 코드 중개 사이트 배너 광고를 집행한 것이 그 원인일 것입니다.

검색 엔진 별로 따로 논다
구글의 경우, StopBadware가 권고한 가이드 라인에 따라 직접 악성 사이트 목록을 자동 혹은 수동으로 관리하고 있고 이 목록을 StopBadware의 클리어링 하우스(Clearing house)를 통해 제 3자에게 제공해 주고 있습니다. StopBadware가 직접 목록을 생성/관리하는 것이 아닙니다.

파이어폭스 2.0 부터 탑재된 피싱 및 악성 사이트 차단 기능은 이 목록에 근거한 것입니다. 따라서, 악성 사이트 목록에서 빠지기 위해서는 구글 웹마스터 도구를 이용해 소유자 확인 후 문제점을 해결했다는 것을 증명하여야 합니다.

구글이 비영리 단체를 이용하여 악성 사이트를 차단하려는 노력을 경주하고 있고, StopBadware에는 이 분야에 일가견이 있는 PayPal과 트렌드 마이크로 등이 조언을 해주고 있고, Mozilla, VeriSign, Lenovo, AOL 등이 재정적 지원과 함께 데이터를 이용하고 있습니다. 사용자들이 직접 위조 사이트를 보고 하는 기능도 제공하고 있지요.

하지만, 2008년 5월 야후!는 백신 업체인 McAfee와 제휴해서 야후 검색 악성 사이트 차단을 시작 합니다.

마이크로소프트 Live Search 역시 독자적으로 지난해 12월 악성 사이트 차단을 시작하죠.

따라서, 현재 검색 엔진에서 악성 사이트 차단은 구글과 야후, MS가 따로 놀고 있는 형국입니다.

좀 더 친절한 시스템이 되길
웹 사이트 내에 사용자 게시판을 운영하는 경우 사용자들이 펌글을 올리는 과정에서 본의아니게 악성 사이트를 링크하는 경우가 생길 수 있습니다. 또한, 광고를 게재하는 광고주가 부주의해서 악성 코드를 배포하는 경우 중개 사이트가 됩니다.

따라서, 웹 사이트 운영자들은 자신의 웹 사이트가 우선 웹 사이트 보안에 문제가 없는지 점검함은 물론이고 자신의 웹 서비스가 링크하고 있는 외부 사이트에 대한 모니터링에 주위를 기울여야 합니다.

문제는 검색 엔진 악성 사이트에 포함된 경우, 이를 시정하는 데 꽤 많은 노력과 시간이 걸린다는 것이다. 구글의 경우 사람에 의한 고객 응대가 아닌 기계적인 방식으로 진행하기 때문에 특히 그렇습니다. 이 때문에 검색 엔진 유입 방문자가 주는 것은 물론이거니와 악성 사이트로 낙인찍히기도 합니다. 웹 사이트에 직간접적인 피해가 오는 것이죠.

따라서, 구글, 야후, MS 모두 악성 사이트 차단에 대한 좀 더 친절한 시스템을 갖추어야 할 필요가 있겠습니다. 사용자를 위한 예방 효과도 중요하지만 그 만큼 웹 사이트에도 선의의 피해가 가지 않도록 해야 할 것입니다.

- ;

Disclaimer- 본 글은 개인적인 의견일 뿐 제가 재직했거나 하고 있는 기업의 공식 입장을 대변하거나 그 의견을 반영하는 것이 아닙니다. 사실 확인 및 개인 투자의 판단에 대해서는 독자 개인의 책임에 있으며, 상업적 활용 및 뉴스 매체의 인용 역시 금지함을 양해해 주시기 바랍니다. 본 채널은 광고를 비롯 어떠한 수익도 창출하지 않습니다. (The opinions expressed here are my own and do not necessarily represent those of current or past employers. Please note that you are solely responsible for your judgment on checking facts for your investments and prohibit your citations as commercial content or news sources. This channel does not monetize via any advertising.)

여러분의 생각 (3개)

  1. miriya 댓글:

    대표적인 피해 사이트가 바로 다음 카페죠.
    트랙백 보내고 갑니다.

  2. 구글 왈, "다음 카페는 컴퓨터에게 해를 줄 수 있습니다."…

    하루이틀 지난 문제가 아닌데 구글 크롬은 아직도 다음 카페를 악성코드 유포 사이트로 지정하고 저렇게 해놨다. 일부 카페가 악성코드를 유포하는 문제는 예전부터 있었고, 따라서 일부 카페가 컴퓨터에 해를 ……

  3. 배드 구글…

    2009년 1월 31일 새벽 6시, 구글 검색 사이트 내 모든 사이트가 악성 사이트로 분류되어 접속이 차단되는 사고가 터졌습니다. 이 사고는 단순한 실수로 일어난 것으로 공식 발표 되었지만, 구글 플랫폼의 신뢰도에 대한 파장은 오래갈 것 같습니다.

    제게 자주 오는 질문 중 하나가 우리 사이트에서는 그런 적이 없는데 왜 파이어폭스가 차단을 하느냐 하…