대부분 파일 공유 사이트 로그인 정보 평문 전송

 

[보안뉴스 김지언] 최근 파일 공유 사이트를 비롯한 많은 웹 사이트에서 로그인, 결제 등의 서비스에서 중요 정보가 암호화 되지 않은 채 전송되는 문제가 발생하고 있다.

▲LTE파일(http://www.ltefile.com/)에서 로그인 시 아이디와 패스워드 평문 전송

이와 관련 해당 취약점을 발견하고 보안뉴스에 제보한 호원대학교 사이버수사경찰학부 박석은 씨는 “각종 기관 사이트나 웹 사이트에서 로그인 시 중요 정보를 암호화를 하지 않은 채 서버로 전송되는 사례가 많아 이용하고 있는 파일공유 사이트를 대상으로 테스트를 한 결과 취약점을 발견하게 됐다”며, “파일공유사이트 LTE파일(http://www.ltefile.com/)의 로그인 과정을 캡쳐 해 본 결과 아이디와 패스워드가 암호화 되지 않은 채 서버로 전달되는 것을 확인할 수 있었다”고 밝혔다.

이어 박 씨는 “만약 해당 취약점이 패치 되지 않은 상황에서 같은 네트워크를 사용하는 다른 사용자가 로그인 과정을 지켜보고 있다면, 로그인한 사용자의 아이디와 패스워드가 다른 사용자에게 갈취될 수 있다”며, “로그인 정보가 암호화 돼 서버로 전송될 수 있도록 조속한 조치가 필요하다”고 설명했다.

▲뽀디스크(http://bbodisk.com/)에서 로그인 시 아이디와 패스워드 평문 전송

본지에서 확인한 결과 뽀디스크(http://bbodisk.com/) 등 다양한 파일 공유 사이트에서 해당 취약점이 발견된 것으로 드러났다. 이에 파일 공유사이트들은 로그인 보안에 좀 더 신경 쓸 필요가 있다.

[김지언 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>