국방홍보원, 22개 관리자 메뉴 페이지 노출사고...현재 수정조치 완료

연예병사 문제로 여론질타 받는 만큼 홈피 보안관리 만전 기해야

공공기관 홈피, 관리자 페이지 노출 여부 집중점검 필요성 제기

[보안뉴스 권 준] 최근 부실한 연예병사 관리로 큰 파문을 일으키면서 국방부의 특별감사까지 받은 국방홍보원이 이번엔 허술한 홈페이지 보안관리로 또 다시 도마 위에 오르고 있다.

웹 개발자로 일하고 있는 권 모씨가 국방홍보원 홈페이지의 관리자 페이지가 노출되는 사고가 발생했다고 본지에 알려온 것.

보통 웹사이트의 관리자 페이지의 경우 모든 페이지에서 관리자 권한을 확인하고 접근을 허용하는 게 일반적인데, 국방홍보원의 경우에는 일부 페이지에서만 관리자 확인처리가 되어  있어 그 외의 페이지에서는 로그인하지 않은 어느 사용자나 접근할 수 있었다는 게 권 씨의 설명이다. 

이로 인한 문제점으로 권 씨는 “관리자가 아닌 외부인이 관리자 페이지를 통해 관리자 기능으로 컨텐츠를 등록하면서 XSS와 같은 기법을 이용해 악성코드를 심어놓고 사용자들의 정보를 탈취하거나 단순히 배너 링크를 악성코드 파일 다운로드 링크로 지정해 사용자 PC를 좀비 PC로 만들 수 있는 등 여러 가지 보안상의 취약점이 발생할 수 있다”고 설명했다.

덧붙여 그는 “이러한 취약점이 특정 해커집단이나 사이버범죄자들에 의해 악용된다면 더욱 큰 문제가 발생할 수 있다”고 우려했다. 더욱이 관리자 페이지가 구글 검색엔진의 검색결과에 노출되어 있기도 했다는 것. 

이에 권 씨는 국방부 민원을 통해 대략 22개의 관리자 메뉴가 노출돼 있다는 사실을 알렸고, 현재는 수정조치가 완료된 상태다.

국방홍보원 홈페이지는 일반 웹사이트보다 많은 사람들이 방문하고, 상대적으로 많은 개인정보를 다루는 공공기관 사이트라고 할 수 있다. 더구나 얼마 전 허술한 연예병사 관리로 여론의 집중 질타를 받았던 만큼 좀더 철저한 보안관리가 요구됨에도 불구하고, 일반 웹사이트보다도 부실하게 홈피를 관리해왔음이 백일하에 드러난 셈이다.

이와 관련 한 보안전문가는 “국방홍보원은 우리나라 안보를 책임지는 국방부 산하 공공기관이므로 좀더 중요한 의미를 지닐 수밖에 없고, 최근 여론의 따가운 비판을 받았기 때문에 더욱 각별한 주의를 기울여야 한다”며, “일반인들은 연예병사 이슈를 내세워 해킹행위를 정당화할 수 있고, 사이버범죄자들이나 특정 해커집단은 이러한 이슈를 악용해 군내 주요 인사정보 탈취나 기밀 유출 등의 사이버스파이 행위를 수행할 수도 있기 때문”이라고 강조했다.

이러한 문제를 발견한 권 모씨가 “공공기관인 만큼 홈페이지에 대한 보다 꼼꼼한 보안 관리가 필요하다고 생각하며, 이에 대한 담당자들의 경각심을 일깨우기 위해 제보했다”고 밝혔듯 이를 계기로 공공기관 홈페이지의 관리자 페이지 노출 여부에 대한 집중적인 점검과 보안교육 필요성이 제기될 것으로 보인다.

[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>