[보안뉴스 오병민] 보안이 허술한 국내 한 인터넷 강의 회사 O업체(가명)의 홈페이지가 특정 사이버공격에 취약해, 가입자 3만4천여 명의 개인정보가 쉽게 노출되는 것으로 알려져 충격을 주고 있다. 이 사이트는 로그인 창에 특정한 문자만 입력해도 가입자 개인정보를 열람하거나 수정할 수 있는 것으로 드러났다.

문제가 되고 있는 O업체의 홈페이지는 로그인창에 특정 문자를 입력하기만 해도 쉽게 관리자 계정에 접근할 수 있다. 이른바 SQL인젝션 공격이다. SQL인젝션 공격은 로그인창이나 게시판에 특정 문자열을 입력했을 때 나타나는 오류를 이용해 해킹하는 방법으로, 홈페이지 개발 당시 이런 문제와 보안을 고려하지 않고 개발했을 때 주로 나타난다.

이 같은 방법으로 관리자 계정에 접근하게 되면, 가입한 회원 정보를 보거나 삭제 수정할 수 있으며 실시간으로 서비스에 접속한 사용자의 ID와 IP등의 정보도 열람할 수 있다. 관리자 계정을 통해 노출될 수 있는 정보는, 이 홈페이지 회원과 강사 등 약 3만4천여 명의 개인정보로, 이름과 아이디, 패스워드 주민등록번호, 주소, 연락처, 핸드폰, 이메일, 학교, 수강신청 내역 등 노출되면 치명적인 것들이다. 게다가 중요한 개인정보에 필수적으로 적용해야하는 암호화도 적용하지 않아 충격을 주고 있다.

보안업계의 한 전문가는 “이 사이트는 기존에 있던 홈페이지를 폐쇄하지 않고 신규 홈페이지를 오픈하면서, 기존 홈페이지의 SQL인젝션 취약점으로 (신규와 동일하게 이용하고 있는) 관리자 페이지로 접근할 수 있는 문제를 가지고 있다”면서 “SQL인젝션 공격은 인터넷 검색만으로 초보자도 할 수 있는 기본적인 해킹 공격이기 때문에 취약점을 가지고 있는 것 자체가 매우 위험하다”고 말했다.

O업체 홈페이지의 SQL인젝션 취약점은 한 제보자에 의해 알려졌다. 이 제보자는 당시 홈페이지 관리자에게 이런 취약점을 설명하고 보완할 것을 당부했다. 그러나 이 홈페이지의 관리자는 “이런 문제는 발견한다고 해결되는 문제가 아니며, 홈페이지를 운영하는 것도 돈이 많이 드는데 보안까지 신경 쓸 여력이 없다”며 “해당 홈페이지는 6개월이나 1년 후 (여력이 생기면) 다시 제대로 운영할 계획”는 반응을 보여 보안에 대한 무관심을 드러냈다.

보안전문가들은, SQL인젝션 공격이 O업체 홈페이지처럼 개인정보 노출에 대한 위험도 있지만 악성코드를 삽입하기 위한 목적으로도 많이 이용된다고 이야기한다. 대상은 관리가 허술한 학교 홈페이지나 민간사업체 홈페이지로, 이런 홈페이지는 인터넷 이용자가 방문하기만 해도 악성코드에 감염돼 좀비PC로 악용될 수 있다.

한 보안 전문가는 “SQL인젝션 공격은 홈페이지 제작시 보안을 고려하지 않고 개발됐기 때문에 나타나는 문제이기 때문에, 국내 수많은 홈페이지들이 알게 모르게 SQL인젝션 공격의 취약점을 가지고 있다”면서 “이들 홈페이지들은 악성코드의 유포지로 이용되거나 누군가에 의해 개인정보가 유출되기도 하기 때문에 정부차원에서 이에 대한 대책을 강구해야 할 것”이라고 말했다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>