U ·T사이트, 각종 취약점 발견...인강사이트 보안실태 점검 필요성 

[보안뉴스 권 준] 경기불황에 따른 심각한 취업난으로 공무원 시험을 비롯한 각종 자격시험에 사람들이 몰리고 있다. 특히, 시간 절약이 가능하고, 자신이 부족한 부분만 인터넷을 통해 배울 수 있는 인터넷 강의 사이트가 자격시험 준비에 있어 큰 조력자 역할을 담당하고 있다.

이러한 가운데 국내 인터넷 강의사이트 2곳에서 심각한 보안취약점이 잇따라 발견돼 인강 사이트의 허술한 보안체계가 도마 위에 오르고 있다. 더욱이 이 두 사이트의 경우 홈페이지 구조는 물론 보안취약점도 동일한 것으로 드러나 인강 사이트들의 보안체계가 전반적으로 취약한 것 아니냐는 우려가 제기되고 있다.

이번에 취약점이 발견된 인터넷 강의사이트 U사이트와 T사이트의 경우 취약한 인증과 세션 관리를 통한 관리자 페이지 노출과 파라미터 취약점이 동시에 발견된 것으로 알려졌다. 많은 이들이 유추할 수 있는 특정 단어를 입력할 경우 관리자 페이지가 노출되는 등 취약한 인증과 세션 관리 즉, URL Jumping 공격이 가능한 문제점이 지적되고 있는 것.

여기에 파라미터 변조 취약점을 통해 관리자의 아이디와 패스워드를 손쉽게 알아낼 수 있고, 이로 인해 수강생들의 각종 개인정보와 수강현황 등이 적나라하게 노출될 수 있다는 얘기다.

더욱이 U사이트의 경우 샘플 동영상 부분에 플래시 취약점을 악용해 공격할 경우 U사이트에 접속하는 수강생들의 PC가 악성코드에 감염될 수 있을 뿐만 아니라 강좌 내용에 iframe, XSS 등의 악의적인 태그를 이용해서 2차 피해가 발생할 수 있다. 또한, T사이트의 경우 수강현황 리스트를 뽑아 수강생들의 개인정보 유출도 가능하다.

이러한 취약점을 본지에 알려온 제보자는 “이러한 취약점은 일반 사용자들이 관리자 페이지로 쉽게 접근이 가능해 발생하는 문제”라며, “관리자 페이지 이름을 admin 혹은 administrator처럼 너무 흔하게 설정해 놓으면 안 된다”고 당부했다.

일단 관리자 페이지로 접속할 수 있게 되면 무작위(Brute Force) 공격이나 SQL 인젝션 등 여러 공격방법으로 관리자의 아이디와 패스워드를 쉽게 알아낼 수 있기 때문에 관리자 페이지 이름을 쉽게 유추할 수 없도록 만들어야 한다는 얘기다.

이와 함께 관리자 폴더 아래로 일반 사용자가 접근하게 되면 사용자 권한을 체크한 뒤 관리자가 아닐 경우에는 메인페이지로 넘어갈 수 있도록 프로그램을 수정해야 한다.

가장 확실한 방법은 외부에서의 접근을 방지하기 위해 관리자 페이지 접근 시 외부아이피를 차단하는 방법이지만, 이 경우 관리자 역시도 외부에서의 접근이 차단되기 때문에 외부에서는 홈페이지 관리가 불가능하다는 게 단점이라는 것.

이렇듯 얼마 남지 않은 대입 수학능력시험과 각종 자격시험에 대비하기 위해 인터넷강의 사이트에 접속하는 사용자가 크게 늘어나고 있지만, 수강생들의 개인정보 유출 우려 등 각종 보안취약점이 잇따라 발견돼 인강 사이트의 보안문제는 점점 더 심각해지고 있는 셈이다.  

이에 U 및 T사이트 측은 홈페이지의 문제점을 파악해 즉각 보완조치를 취할 것이라고 밝혔지만, 아직도 얼마나 많은 인터넷강의 사이트들이 이러한 보안취약점에 노출돼 있을지 알 수 없는 상황이라 수험생들의 근심이 커지고 있다.  

이와 관련 한 보안전문가는 “인터넷강의 사이트의 보안취약점은 그간 여러 번 지적돼 왔지만, 아직까지 제대로 된 실태조사 한 번 이루어지지 않았다”며, “특히, 인강 사이트는 동영상 기반의 사이트이기 때문에 홈페이지 제작 및 관리시 보안이 조금만 허술할 경우 플래시 취약점을 비롯한 각종 취약점에 무방비로 노출될 위험이 있다”면서 인강 사이트의 보안위협에 대한 전반적인 실태조사가 필요하다는 입장을 나타냈다.  

[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>