nhn 측 “현재 조치 완료, 사용자 피해 없는 것으로 확인돼”

[보안뉴스 김태형] 국내 최대 포털 사이트인 네이버의 ‘비밀번호 찾기’ 기능에서도 파라미터 변조를 통한 보안취약점이 발견돼 그 어느 때보다 포털 이용자들의 주의가 요구된다.

최근 중소기업, 어학원, 여행사 등의 홈페이지에서 잇따라 발견되는 등 국내 수많은 홈페이지가 파라미터 변조 취약점 대응에 소홀하다는 지적이 제기되고 있는 상황에서 대형 포털 사이트에서도 취약점이 발견되면서 우려가 더욱 커지고 있다.   

기본적으로 네이버에서 제공하는 비밀번호 찾기 기능을 성공적으로 이용하기 위해서는 ID, 이름, 주민등록번호 등 사용자의 기본정보를 통한 1차 인증을 성공적으로 수행한 후, 2차 인증으로 사용자가 메일, 휴대전화로 인증번호를 받아 이 인증번호를 이용해야 한다.

여기서 문제는 휴대전화로 인증번호를 받는 2차 인증과정에서 발생할 수 있다. ‘휴대전화로 인증번호 받기’는 사용자가 네이버 가입 당시 네이버로부터 실제 사용자의 번호라는 인증을 받은 휴대전화를 통해 인증번호를 받아 본인 인증을 수행한 후 비밀번호를 재설정할 수 있도록 하는 기능이다.

이러한 네이버의 ‘비밀번호 찾기’ 과정에서 파라미터 변조 취약점을 이용하면 피해자의 이름, 주민등록번호 등 4가지의 최소 개인정보만으로도 네이버 계정을 탈취할 수 있다는 얘기다.

최근 몇 년간 개인정보 유출사건으로 인해 국내 인터넷 사용자 대부분의 개인정보가 유출된 상황에서 이렇듯 최소한의 개인정보과 간단한 인증과정만으로 네이버 사용자의 계정을 탈취하는 것이 가능하기 때문에 문제가 더욱 심각하다고 할 수 있다.   

더욱이 해당 취약점을 공격자가 악용할 경우 사용자의 메일, 쪽지 등을 이용한 2차 피해는 물론 네이버와 함께 다른 대형 포털 사이트 등을 이용하는 사용자들의 추가 피해도 발생될 수 있다.

네이버를 제외한 여타 사이트에서 ‘비밀번호 찾기 기능’ 이용 시 가입할 때 등록한 메일주소를 이용해 비밀번호를 찾을 수 있는데, 만일 네이버 계정이 이미 절취된 사용자가 다른 사이트에 가입할 때 메일 주소로 네이버 계정으로 등록했을 경우 네이버 뿐만 아니라 다른 사이트에서도 해당 사용자의 비밀번호를 손쉽게 획득 또는 변경할 수 있다는 것이다.

이러한 파라미터 변조 취약점을 예방하기 위해서는 파라미터를 이용하는 각 페이지에서 파라미터에 대한 확인절차를 반드시 코딩해주어야 한다. 즉, 파라미터를 입력받을 시 서버스크립트에서 파라미터에 대한 검증을 수행해 변조에 대한 피해를 줄여야 하고, 취약점 여부를 체크해 피해가 발생하기 전에 웹 관리자가 코드에 대한 보완조치를 취하는 것이 무엇보다 중요하다.

이와 관련 제보자는 “이러한 파라미터 변조 취약점은 서버사이드스크립트에서 파라미터에 대한 적절한 확인과정을 거치지 못해 발생되는 것으로 간단하게는 비밀 글 확인이 가능한 경우도 있으며 해당 문제와 같이 회원 계정정보를 변경할 수도 있으므로 반드시 보완되어야 하는 부분”이라고 강조했다.

이번 취약점은 네이버를 운영하는 nhn 측에 통보돼 현재는 조치가 완료된 것으로 알려졌다. 이와 관련 nhn 측 관계자는 “현재 관련 취약점에 대해 전달받은 후 바로 조치를 완료한 상태이며, 이로 인한 사용자 피해는 없는 것으로 확인됐다”고 밝혔다.