게시물 접근시 정당한 사용자인지 확인 가능한 체크 코드 넣어야

[보안뉴스 김태형] 한 중소건설사 홈페이지에도 파라미터 변조 취약점이 발견돼 국내 중소기업 홈피가 파라미터 변조 취약점에 많이 노출된 것 아니냐는 우려가 제기되고 있다. 본지는 지난 8월 14일자에도 ‘H어학원 홈페이지 파라미터 변조 취약점 발견’ 제하의 기사를 통해 파라미터 변조 취약점에 대해 보도한 바 있다.

이번에 발견된 건설회사 S개발(www.s*****.co.kr) 홈페이지도 지난번 보도된 어학원 홈페이지와 비슷한 유형의 파라미터 변조 취약점이라 할 수 있다.

한 해킹동아리의 리더를 맡고 있는 제보자는 “이 회사 홈페이지에는 이러한 파라미터 취약점 이외에도 구글링 취약점도 발견됐다”며, “구글링을 통한 자료 노출을 방지하기 위해서는 최상위 주소에 ‘robots.txt’를 추가시켜야 한다”고 덧붙였다.

또한, 그는 “이러한 파라미터 공격을 막기 위해서는 게시물 접근시 정당한 권한을 획득한 사용자인지 확인하는 체크 코드를 넣어 주면 된다”고 강조했다.

이번 취약점이 발견된 S개발의 홈페이지 담당자는 “이 홈페이지는 사용하지 않은 지가 5년이 넘었고 사이트내 중요 정보도 없기 때문에 문제될 것이 없다”고 말하는 등 대수롭지 않은 태도를 나타냈다. 

이렇듯 중소기업 홈페이지에 파라미터 변조 및 구글링 취약점을 비롯한 보안취약점이 자주 발견되는 것과 관련해 한 보안전문가는 “홈페이지 설계 및 구축시 저렴한 비용으로 홈페이지 개발업체에 주로 의뢰하다 보니 보안문제에 대한 체계적인 검토와 사전설계가 이루어지지 않은 경우가 많다”며, “무엇보다 홈페이지에 대한 정기적인 보안취약점 점검이 이루어져야 한다”고 강조했다.  

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>