많은 중소기업 홈페이지, 구글링만으로 관리자 페이지 권한 노출

[보안뉴스 김태형] 국내 중소 오존발생기 제조업체인 오존텍 홈페이지(www.ozonetech.co.kr)가 심각한 보안 취약점에 노출되어 있는 것으로 나타났다.

본지에 이를 제보한  청소년 해킹 및 보안 연구팀 ‘Little Rascal팀’ 리더 염세현 군은 “여러 기업 및 홈페이지에 대한 취약점을 조사하던 중 이 회사 홈페이지는 간단한 구글링으로 관리자 페이지가 노출됐다”고 설명했다. 

그는 “취약점은 크게 2가지가 있는데, 첫 번째 취약점은 구글링에 사용한 명령어 ‘inurl:/ co.kr/admin.php’를 통해 해당 사이트의 게시판 관리권한이 노출된다는 점”이라고 밝혔다.

염세현 군은 “이에 대한 해결방안으로는 구글에서 해당 검색어를 지워주면 된다”며, “또한, 관리자 페이지 접근시 외부 IP를 차단하고 자신의 IP만 허용하는 방법 혹은 로그인 페이지를 띄워서 막는 방법이 있다”고 설명했다.

두 번째 취약점은 오존텍 홈페이지 주소부분(http://www.ozonetech.co.kr/)에 ‘../../admin.php’(하위디렉토리에서 ‘admin.php’을 찾음)을 실행한 결과 해당 홈페이지의 관리자 페이지가 노출됐다는 것.

이러한 취약점 또한 관리자 페이지 접근시 외부 IP를 차단하는 방법, 혹은 로그인 페이지를 띄워서 막는 방법이 있다. 현재 이런 취약점으로 일어날 수 있는 결과로는 해당 사이트의 SQL 정보를 알아낼 수 있고, 물건을 주문한 고객의 이름과 연락처 등의 개인정보를 알 수 있다고 염 군은 설명했다.

이와 함께 사이트의 게시판 기본 권한, 중요 권한을 설정해 XSS 공격 및 Web Shell을 업로드해 정보를 탈취할 수 있다. 아울러 게시물을 마음대로 변경할 수 있고 해당 사이트의 주문 정보를 알아낼 수 있으면 일부 주문 설정까지 변경이 가능하다는 것.

이와 관련 오존텍 관계자는 홈페이지 관리는 외주 업체에서 하다 보니 보안관리 측면에 대해서는 모른다는 입장을 밝혔다. 이에 해당 업체의 홈페이지를 관리하는 외주업체에 문의한 결과 해당 취약점에 대해서는 점검을 통해 바로 조치하는 등 보안강화에 만전을 기할 것이라고 답변했다.

한편, 염세현 군은 이 회사 홈페이지 외에도 많은 중소기업 홈페이지가 이러한 취약점에 노출되어 있는 것으로 조사돼 이에 대한 보안관리 및 점검이 필요하다고 강조했다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>