[보안뉴스 오병민] 철통같이 지켜져야 할 국가 4대 사회보험 사이트에서 기본적인 보안문제가 방치돼 국민의 주요 정보 보호에 문제가 있는 것으로 확인됐다. 특히 별다른 해킹 프로그램 없이 인터넷 주소창에 주민번호와 특정 구문을 입력하는 것만으로도 주소와 보험가입일 등 민감한 정보가 노출되는 것으로 나타나 충격을 주고 있다.

4대 사회보험 사이트(http://www.4insure.or.kr/)는 국민연금과 건강보험, 고용보험, 산재보험의 정보를 열람할 수 있는 통합포털사이트로 보험가입 대상인 전 국민의 주요 정보가 밀집돼 있는 사이트라고 볼 수 있다.

그럼에도 불구하고 이 사이트는 개발단계부터 체계적으로 보안을 적용하지 않아 로그인을 거치지 않아도 주요 정보를 열람할 수 있는 심각한 취약점을 가지고 있는 것으로 보안뉴스에서 처음 확인됐다.

해당 취약점은 로그인 후 입력되는 명령어에 대한 별다른 보안절차가 없어 나타난 것으로 보인다. 이에 따라 인터넷 주소창에 4대 사회보험 사이트 주소를 비롯한 특정 구문과 주민등록번호를 입력하면 정부에 등록된 가입자의 실제 주소가 소스코드 보기를 통해 상세하게 나타난다. 그 뿐 아니라 이름과 주민등록번호를 입력하면 직장의료 보험가입일자도 확인할 수 있어 조회 대상이 언제 직장에 입사했는지에 대한 정보도 알 수 있다.

보안업계의 한 전문가는 이에 대해 “해당 문제는 특정구문의 입력으로 내부 서비스가 조회되는 아주 기초적인 문제점으로 사이트의 보안이 로그인 할 때만 적용되기 때문에 나타나는 문제라고 볼 수 있다”면서 “이 같은 문제점은 아주 기초적인 것으로 사이트 개발단계에서부터 보안이 고려가 되지 않았다고 볼 수 있다”고 진단했다.

그리고 그는 “보통 4대 보험과 같은 중요 사이트의 해킹은 치밀한 계획에 따라 진행해도 쉽지 않아야 정상인데, 이 경우는 사이트 개발에 대한 지식이 있는 사람이라면 별다른 기술 없이도 충분히 파헤칠 수 있는 심각한 문제”라면서 4대 보험과 같이 중요한 정보를 취급하는 사이트가 왜 이런지 의아할 따름”이라고 고개를 갸우뚱했다.

보안전문가들은 이 같은 취약점은 단순한 몇 가지 소스 수정만으로도 해결할 수 있기 때문에 조금이라도 보안에 관심이 있었다면 나타나지 않을 수 있었다고 지적한다. 게다가 더욱 충격을 주는 사실은 2003년부터 해당 취약점이 해결되지 않고 방치됐다는 사실이다.

한 보안전문가는 “해당 취약점은 보험공단 취약점에 관심이 많았던 해커들 사이에서 충분히 알 수 있는 취약점으로 이미 2003년부터 나타났던 문제였다”면서 “해커들은 약간의 소스코드만 수정해도 고칠 수 있는 이런 문제가 2003년부터 그대로 방치됐다는 점에서 (허술한 보안에) 비웃고 있을지도 모른다”고 말했다.

이 같은 기본적인 보안 문제점은 그동안 많은 보안전문가들이 지적했던 문제이다. 국내 웹사이트들이 대부분 서둘러 개발되다 보니 사이트 자체에 허점이 많고, 개발단계에서 보안이 고려되지 않은 경우가 많아, 많은 웹사이트에 기본적인 보안 취약점이 상당수 존재하고 있다고 보안전문가들은 말한다. 즉 곪은 종기가 터졌다는 이야기다.

국내 한 보안전문가는 “우리나라의 대다수 웹사이트들의 취약점은 심각한 상황으로 굳이 해커가 아니라도 개발 쪽을 공부하고 있는 사람들은 대부분 구글 검색을 통해 해킹을 할 수도 있을 정도”라면서 “특히 SQL 인젝션이나 파일 업로드 취약점 등과 같은 취약점은 사이트의 모든 정보를 유출할 수 있기 때문에 국내 모든 사이트를 대상으로 대대적인 점검이 필요한 상황”이라고 말했다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>