IE를 제외한 다른 브라우저서 개인정보 노출 여부 체크해야!

조선일보의 각종 교육사업을 총괄하고 있는 조선일보교육미디어의 ‘맛있는 공부’ 홈페이지에서 소스코드를 통해 개인정보가 노출되는 취약점이 발견됐다.

취약점은 이 사이트의 겨울방학 학습멘토링캠프 참가신청 페이지에서 드러났다. MS의 인터넷익스플로러(IE)를 제외한 파이어폭스와 크롬, 사파리 등 웹브라우저에서 참가신청 페이지를 클릭하고 특정 부분을 제외한 상태에서 주소가 입력되면 소스코드를 통해 참가 신청자들의 개인정보가 노출되는 것으로 확인됐다.

노출되는 개인정보는 신청자의 이름과 휴대폰 전화번호, 유선 전화번호, 주소 및 보호자의 이름 등으로, 보안뉴스에서 확인한 개인정보만 해도 200건이 넘는 것으로 파악됐다.

 

▲취약점을 바탕으로 구글 크롬 브라우저에서 소스 보기한 상태. 이용자들의 개인정보가 노출되고 있다. ⓒ보안뉴스

이 취약점을 최초 발견한 제보자는 “6일 이 취약점을 발견하고 조선일보 측에 맛있는 공부 캠프에서 개인정보가 노출되고 있다고 전했지만 회사 측은 7일 오전 9시 넘어서 맛있는 공부 사업 팀으로 전화하라는 무성의한 대답뿐이어서 개인정보를 너무 쉽게 생각하고 있는 것 같다”며 불만을 토로했다.

현재 조선일보교육미디어 측은 이 취약점을 확인하고 수정작업에 들어갔다. 조선일보교육미디어의 한 관계자는 “홈페이지의 개발중 외부 아웃소싱 과정에서 문제가 나타난 것 같아 외주개발 측에 문제점을 전하고 수정하도록 조치를 취했다”며 “혹시나 개인정보 유출 우려가 있으니 노출 대상자에 대해서는 SMS나 전화로 조심하도록 연락을 취할 계획”이라고 말했다.

이런 취약점은, 국내에서 대부분 인터넷익스플로러(IE)를 이용하고 있다고 생각하고 다른 브라우저에 대한 테스트를 소홀히 해 나타난 것으로 전문가들은 진단하고 있다.

보안업계의 한 전문가는 “국내에서는 IE 사용자가 가장 많아 대부분 IE환경에서만 테스트를 거치고 있어 다른 브라우저에서는 여러 문제점이 나타날 수 있다”면서 “점차 다양한 브라우저 사용이 늘어나고 스마트폰에서는 다양한 인터넷 환경이 나타날 수 있어, IE만 고려한 개발은 여러 문제를 일으킬 수 있다”고 말했다. 

또한 아웃소싱에 의존한 인터넷 사이트의 경우, 개인정보 유출사고시 신속한 대응이 쉽지 않다는 점도 지적되고 있다. 특히 우리나라의 많은 인터넷 사이트들이 개발부터 운영까지 아웃소싱으로 진행되는 사례가 많아 신속한 대응을 위한 조치가 필요하다는 것. 

이 전문가는 “우리나라는 인터넷 사이트를 운영하는 것이 여러모로 유용하다는 생각만 할 뿐, 이를 통해 나타날 수 있는 위험성이나 침해 등의 문제는 크게 신경 쓰지 않는다”고 우려를 나타냈다.

한편, 조선일보교육미디어 측은 이번 일을 계기로 취약점 점검과 보안 관리에 더욱 관심을 기울일 계획이라고 전했다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>