간편인증 취약점 실제 사례 및 대응 가이드 제시
간편인증 모의 해킹 테스트 진행... 상담 신청자 및 자료 다운로드 받은 고객 대상 이벤트

[보안뉴스 원병철 기자] DX전문기업 LG CNS가 온라인상의 신원을 확인하고 인증하는 ‘간편인증’ 서비스의 심각한 보안 취약점을 경고하고, 이에 대한 대응책을 제시했다. LG CNS의 화이트해킹 전문가 그룹인 RED팀이 최근 온라인상에서 실제 침투 테스트를 통해 간편인증을 점검한 결과, 다수의 서비스에서 치명적인 결함을 발견했다.


LG CNS RED팀은 △예약 시스템에서 타인 예약 정보 조회 및 변경이 가능한 경우 △인터넷 포털의 간편로그인을 사용하는 쇼핑몰에서 고객 정보가 모두 조회되는 경우 △간편인증을 연동하는 업체가 보유한 고객정보의 위변조가 가능한 경우 등 실제 취약점 사례 3가지를 공개했다.

예를 들어, 예약시스템을 구축한 A사 점검의 경우, 간편인증을 한 인터넷포털 B사의 ID값을 변조해 A사 서버로 전달하면 타인 로그인이 가능해져, 타인 예약 정보 조회, 예약 변경 및 취소를 할 수 있었고, 예약 포인트를 사용할 수 있었다.

LG CNS는 이와 같이 침투 실제 사례를 공개하면서, 간편인증 제공 회사와 간편인증 연동회사가 취약점에 어떻게 대응해야 하는지 취약점 대응 가이드도 함께 제시했다.

비대면 환경이 증가하면서 온라인상의 신원을 확인하고 인증하는 간편인증 서비스는 은행, 보험, 쇼핑몰, 인터넷 포털 등 고객에게 제공하는 각종 서비스에 폭넓게 사용되고 있다. 고객의 편의성을 고려해 지난해 말 55개의 공공 기관이 간편인증 적용을 계획했으며, 민간에서는 금융, 유통, 서비스 등 다양한 업종에서 간편인증이 적용되어 활용 중이다.

LG CNS는 이번 취약점 점검을 바탕으로 간편인증을 제공하는 업체들이 반드시 간편인증에 대해 점검할 것을 권고했다. 간편인증 모의 해킹 테스트를 원하는 회사의 경우, LG CNS 블로그에서 RED팀의 상담을 통해 모의 테스트를 진행할 수 있다. 모의 해킹 상담 신청 및 LG CNS RED팀의 자료를 다운로드 받은 사람들을 대상으로 추첨을 통해 경품 이벤트도 실시한다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>