[보안뉴스 호애진] 현대성우 리조트 시즌권을 온라인으로 구입한 회원 3천여명의 개인정보가 보안 위협에 무방비로 노출돼 있는 것이 확인됐다.

대행업체인 큐피콘(http://www.qpcon.com/) 사이트 내 웹 보안 취약점으로 인해 리조트 시즌권을 구매한 이용자들의 개인정보를 누구든지 열람할 수 있는 것. 해당 개인정보에는 이름뿐만 아니라 주민등록번호, 휴대폰 번호, 이메일 주소, 주소, 신장 및 사진까지 포함돼 있다.

이 웹 보안 취약점은 ‘인증 및 세션 처리 미흡’으로 분류되고 있으며 로그온이 필요한 페이지에 누구나 접근이 가능해 정보를 열람할 수 있는 취약점을 말한다.

현재 큐피콘은 인증없이 웹 컨텐츠를 열람할 수 있다. 이로 인해 개인정보가 노출된 현대성우 리조트 시즌권 회원들의 수는 3천125명으로 추정되고 있다.

리조트 시즌권을 구입하고자 하는 이들은 위메프, H몰, GS Shop, 롯데닷컴 등에서 구매 시 개인정보를 입력하게 돼 있다. 문제는 입력된 개인정보가 대행업체인 큐피콘으로 전달 되는 것.

해당 웹 보안 취약점을 통해 공격자들은 △인증없이 웹 콘텐츠를 열람하는 행위 △인증없이 또는 우회를 통해 관리자 전용 페이지 접근 및 정보 열람 △다른 사용자의 콘텐츠(게시물)를 수정하거나 삭제하는 행위를 할 수 있다.

즉 개인 정보를 열람하기 위해서는 보통 사용자의 로그인을 통해 인증받아야 하고 올바르게 인증된 후에만 정보를 볼 수 있도록 처리해야 한다. 만약 입력받은 정보가 올바르지 않다면 오류 메시지를 보여 주고 차단해야 한다.

한 보안 전문가는 “최근 네이트 해킹 사건으로 인해 주민등록번호 유출에 대한 경각심이 고조되고 있는 상황임에도 불구하고 아직까지 기업의 보안 인식은 현저하게 낮다”고 지적하고 “많은 개인정보를 취급하는 기업은 보다 보안 관리를 철저히 해 제 2, 3의 네이트 해킹 사건이 발생하지 않도록 주의해야할 것”이라고 당부했다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>