회원수·거래 많은 부동산 사이트, 주기적인 보안취약점 진단 필요 

[보안뉴스 권 준] 부동산 취득세 및 양도세를 낮추기로 한 9.10 부동산 대책 시행이 늦어지면서 9월 인구이동이 26년 만에 최저치를 기록하는 등 국내 부동산 경기가 침체일로를 겪고 있다.

이로 인해 각종 부동산 사이트에 들어가 매매가 등 매매동향을 자주 살펴보면서도 실제 거래는 많이 일어나지 않는 현상이 지속되고 있다. 이러한 가운데 설상가상으로 국내 대형 부동산 사이트 한 곳이 보안에 매우 취약한 것으로 드러나 개인정보가 유출될 위험성이 커지고 있다.

하루 방문자가 8~10만 명에 이르는 부동산 전문 사이트인 B사이트에서 최대 10가지에 이르는 보안취약점이 발견돼 회원정보 유출 등을 비롯한 각종 보안문제가 발생할 우려가 커지고 있는 것.

B사이트의 취약점을 본지에 제보한 청소년 해킹·보안팀 Little Rascal의 리더 염세현 군에 따르면 B사이트의 경우 취약한 인증과 세션 관리로 인한 URL Jumping, 파라미터 변조, 웹쉘 업로드, 구글링, SQL 인젝션, 무작위 공격(Brute Force) 취약점 등 각종 보안취약점이 한꺼번에 발견된 것으로 알려졌다.

더구나 이 사이트의 경우 올해 초 홈페이지 다운으로 이틀 간 홈페이지가 먹통이 된 적이 있어 사이트 운영자의 허술한 보안대책에 대한 질타와 함께 이러한 일이 또 다시 재발될 수 있다는 우려가 커지고 있다.  

이와 관련 염세현 군은 “B사이트는 IT 보안에 대해 조금만 지식이 있어도 너무나 쉽게 관리자 페이지에 접근할 수 있는 것이 가장 큰 문제”라며, “무작위 공격이나 SQL 인젝션 공격 등 다양한 방법으로 관리자 ID와 패스워드를 알아낼 수 있고, 이를 바탕으로 회원정보 유출이나 부동산 가격정보 조작 등과 같은 심각한 보안문제가 일어날 수 있다”고 우려했다.

특히, B사이트의 경우 하루 방문자수가 8~10만 명에 이르는 비교적 중대형 규모의 웹 사이트라고 할 수 있다. 특히, 많은 이들이 찾는 부동산 거래 사이트의 경우 회원정보와 함께 부동산 가격정보가 노출돼 해킹 피해를 입을 경우 그 피해가 막대할 수 있기 때문에 주기적인 취약점 점검과 함께 체계적인 보안관리의 필요성이 제기되고 있다.

이와 관련 본지와 통화한 B사이트의 대표는 “올해 홈페이지를 개편하면서 보안을 상당히 강화했고, 방문자들의 IP 추적도 하고 있다”며, “제기된 보안취약점에 대해 확인해본 후, 문제가 있다면 신속한 조치를 취하겠다”고 밝혔다.  

이에 본지는 B사이트를 포함해 회원수가 많은 국내 대형 부동산 관련 사이트 5곳을 대상으로 스톱배드웨어(Stopbadware)에서 매칭해 진단 분석한 구글 세이프 브라우징 결과를 통해 실제 악성코드 유포 흔적이 있었는지 살펴봤다. 

다행히 조사한 5곳 가운데 악성코드 유포 흔적이 발견된 사이트는 없었다. 그러나 세이프 브라우징 결과만 가지고, 해당사이트들이 안전하다고 단언하긴 이르다. B사이트의 경우에도 아직까지 별다른 유포 흔적이 발견되지는 않았지만, 현재 상황이라면 언제라도 공격이 들어올 경우 쉽게 뚫릴 수밖에 없기 때문이다.    

B사이트처럼 보안취약점에 노출된 부동산관련 사이트들이 다수 있을 것으로 예측되는 만큼 사이트 대표자와 웹 관리자 등은 자사 사이트의 보안취약점에 대한 면밀한 재검토와 이에 따른 보안대책 수립이 이루어져야 할 것으로 보인다.  

이와 관련 한 보안전문가는 “B사이트의 경우는 웹 사이트를 다시 설계해야 할 만큼 심각한 수준”이라며, “보안취약점이 복합적으로 발생하는 경우는 사이트 설계에 있어 보안이 제대로 고려되지 않은 것인 만큼 사이트 수정 또는 개편 시 시큐어코딩 등을 통해 개발단계에서부터 체계적인 보안을 적용해야 한다”고 강조했다.    

[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>