더욱이 열린사이버대학 컨소시엄의 경우 2001년 국내 최초로 원격대학(OCU)을 설립해 현재 38개 대학 간의 교육인프라를 상호 공유하고 있는 곳으로, 연간 4백여 강좌를 개설하고 12만 명이 수강하고 있는 국내 최대 규모의 학술교류 사이버 캠퍼스로 알려져 있어 문제의 심각성이 더욱 크다. 

본지에 이 같은 사실을 알려온 제보자는 “열린사이버대학교 컨소시엄의 사이버 캠퍼스 홈페이지가 파라미터 변조 취약점으로 인해 회원들의 비밀 글, 전화번호, 메일, 주소 등을 확인할 수 있으며, 사용자를 변조해 미리 시험문제를 유출할 수도 있다”고 설명했다.

파라미터 변조가 가능한 직접 객체 참조 취약점은 OWASP가 발표하는 보안위협 TOP 10 중 하나로 비교적 낮은 수준의 취약점에 속한다. 파라미터는 웹 애플리케이션 리소스에 전달되는 값을 의미하는데, 종류로는 URL, GET, POST 방식의 데이터나 히든 필드 및 쿠키의 내용은 물론 사이트 인증 이후에 주소 창에서 보이는 정보도 포함될 수 있다.

공격자는 사용자와 서버 간에 전송되는 파라미터 값을 변조해 시스템 명령을 수행하거나 우회를 시도할 수 있는 것이다. 이러한 취약점을 악용한 간단한 ID값 변경만으로도 타 사용자 개인정보 열람은 물론 시험 미리보기, 비밀 글 열람, 공지사항 변조해 글쓰기, 타 사용자 쪽지열람 등 다양한 변조가 가능하다는 얘기다.  

이러한 사이버 강의의 경우 시험기간을 정해 두고 아무 때나 시험을 볼 수 있는 특성이 있다. 시험 문제를 열람하는 순간 본인은 시험을 보게 되는 것이며, 그 자리에서 시험문제를 다 풀어야 하는 것. 하지만 파라미터 변조를 통해 ID값을 바꾸어서 보면 시험문제를 미리 확인한 후, 본인은 시험을 다시 볼 수도 있다.  

이와 관련 제보자는 권한 확인이 필요한 페이지에 대해 권한 체크를 적용할 것과 권한 체크는 반드시 서버 측 스크립트에서 적용해야 한다는 2가지 대응방안을 제시했다.

우선 특정 기능의 접근을 요청하는 사용자가 권한을 가지고 있는지를 반드시 체크하도록 해야 한다는 것. 이 때 주의해야 할 점은 공격자는 어떠한 방식으로든 원하는 페이지에 접근할 수 있음을 가정하고 최종적으로 트랜잭션이 발생하는 부분에서 접근 권한을 체크해야 한다고 강조했다.

이와 함께 데이터 업데이트 및 인증 등 중요한 작업을 수행하기 위해서는 사용자로부터 전송되어 온 HTTP 데이터 사용을 가급적 자제하고 DB, 세션 등 서버 측에서 입력된 정보를 이용해서 작업을 진행해야 한다는 것.  만일 사용자로부터 전송된 값을 꼭 사용해야 한다면 반드시 이들 값의 변조 여부에 대한 유효성 검토를 거쳐야 한다는 얘기다.   

이와 함께 제보자는 “클라이언트 스크립트는 이용자로부터 변조가 가능하므로 중요 프로세스에 대한 권한 체크는 반드시 서버 측 스크립트를 통해 진행해야 한다”고 덧붙였다.  

본지는 열린사이버대학교 측에 이번 취약점에 대해 통보했으며 대학교 측은 “지난 13일 시스템 긴급점검을 통해 시스템에 암·복호화 기법을 적용하는 등 보안강화 조치를 완료했다”고 밝혔다.   

이와 관련 한 보안전문가는 “최근 사이버대학 등 인터넷강의가 가능한 사이트에서의 보안취약점이 잇따라 발견되고 있다”며 “무엇보다 타인 명의로 시험을 미리 볼 수 있는 문제 등은 사이버대학 학사행정의 큰 혼란을 야기할 수 있는 심각한 사안으로 교과부 및 교육청 등 관련부처가 사이버대학에 웹 취약점 점검을 권고하는 등 보다 적극적으로 나설 필요가 있다”고 진단했다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>