2개 지자체는 행정망 전체 장악의 통로가 될 만큼 위험에 노출

[보안뉴스 오병민] 지난 4월 한국인터넷진흥원은 특정 보안업체를 통해 16개 지자체 대표 홈페이지에 대한 웹 어플리케이션 취약성을 진단했는데, 5월 6일 발표된 내부 결과보고서를 보면 홈페이지 취약성은 심각한 수준인 것으로 드러났다.

16개 지자체 홈페이지 중 2개는 이를 통해 행정망 전체를 장악할 정도로 심각한 위험에 노출되어 있으며, 이들 2개 홈페이지를 통해 행정망 전체에 침입할 수 있는 것 뿐 아니라, 행정망을 장악하고 컨트롤할 수 있게 되어 청와대는 물론 모든 행정기관의 전산망이 무방비로 노출될 수 있다는 것.

게다가 9개 지자체 홈페이지는 홈페이지의 데이터 정보가 모두 노출될 수 있을 정도로 진단되었다.  이들 9개 지자체 홈페이지는 내부의 데이터 정보를 모두 추출할 수 있어 해당 홈페이지의 개인정보나 지자체의 계발계획, 투자정보 등까지 노출될 수 있다.

또한, 6개 지자체 홈페이지는 로그인 정보가 노출될 수 있어, 해당 홈페이지의 회원으로 가입한 이용자들의 정보가 노출될 우려가 있는 것으로 진단됐다.

창조한국당 이용경 의원은 “이처럼 지자체 홈페이지의 보안 위험이 심각한데도 불구하고, 인터넷진흥원은 해당 지자체가 어디인지 밝히기를 거부하고 있어 보안사고 발생시 막대한 개인정보 유출은 물론 행정망 전체 정보 유출 상황 발생까지도 우려되고 있다”고 주장했다.

따라서 한국인터넷진흥원은 하루 속히 관련 지자체의 명단을 공개하여 피해를 예방함은 물론 시급한 대책 마련에 나서야 한다고 지적했다.

- 지자체 홈페이지 보안진단 현황 -

○ 취약성 진단은 OWASP(Open Web Application Security Project)의 Top 10 항목을 기준으로 실시하였는데, 항목 중 심각한 수준의 취약성이 지자체 홈페이지에서 발견되었음.

○ 먼저, 심각한 위험을 기준으로 보면 ‘인젝션 취약’이 있음. 이는 OWASP의 보안위험 1순위로 홈페이지의 모든 데이터가 도둑맞거나 조작 되거나, 또는 삭제 될 수 있는 수준의 취약점임.

○ 인젝션이 취약한 지자체는 2군데뿐이지만, 공격자로부터의 공격 용이도가 쉽고, 해킹 당할 경우 호스트를 완전히 장악당해 행정망으로의 피해까지 확산될 수 있음. 

 <지자체 홈페이지 취약점 진단 결과, 2010. 5. 6>

취약성 항목	영향	취약점 발견 시?도 홈페이지
Cross site Script 취약	스크립트 삽입공격을 통한 정보유출 시도 (로그인 사용자 정보노출)	6개
인젝션 취약	injection 취약점을 통해 권한 획득 및 DB접근 (시스템 장악 / DB정보 유출)	2개
파일업로드 취약	악성백도어 파일 업로드 후 시스템권한 획득 (시스템 장악)	1개
다운로드 취약	다운로드 파라메타를 통한 시스템정보 다운 (행정망 접근 / 정보유출)	9개
부적절한 오류처리	에러처리 미흡으로 주요정보 노출 확인	6개
서버설정 오류	서버 설정상의 문제로 중요정보 노출	3개
취약한 서버 버전	취약한 버전의 웹서버 사용으로 취약점 발생	1개
관리자인터페이스 관리	관리자 페이지에 접근하여 권한획득 시도	1개

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>