여수MBC, 디렉토리 리스팅 외 취약점 업데이트 필요

[보안뉴스 김지언] 국내 지상파 지역방송국 홈페이지와 지역방송국에서 운영하고 있는 여행사이트에서 보안취약점이 발견돼 언론사들의 허술한 보안관리가 다시금 도마 위에 오르고 있다.

2월 3일 본지에서 보도한 ‘언론사 홈피 게시판·블로그 보안취약점 주르르’와 관련해 국내 지상파 방송사 MBC 홈페이지 게시판에서 XSS 취약점이 발견된 데 이어 MBC 지역방송국에서도 보안취약점이 발견됐다.

이를 본지에 제보한 김성진 씨는 “우연히 여행사이트 접속했다가 MBC 투어클럽 사이트에서 디렉토리 리스팅 취약점을 발견하게 됐다”며, “대부분의 디렉토리 목록을 확인할 수 있고 웹 서버와 관련된 정보를 확인할 수 있어 빠른 개선이 필요하다”고 당부했다.

이어 김 씨는 “디렉토리 리스팅이란 현재 브라우징 하는 디렉토리의 파일들을 사용자에게 보여주는 취약점”이라며, “인터넷 사용자에게 웹 서버 내 모든 디렉토리와 파일 목록을 보여줌과 동시에 파일을 열람하고 저장할 수 있다면 매우 위험하다”고 전했다.

본지에서 확인한 결과 MBC 투어클럽 사이트는 여수MBC에서 운영하는 여행사이트로, 여수MBC 홈페이지에서도 같은 문제가 발생하는 것을 확인할 수 있었다.

이들 사이트는 디렉토리 리스팅을 통해 사용하는 서버 버전 및 이름, 사용 OS, 사용 포트 외에도 홈페이지를 구축할 때 사용한 소프트웨어가 노출돼 위험한 상황이었다. 그러나 홈페이지 데이터베이스 관련 정보 파일, 서버사이드스크립트, 관리자 페이지 등과 같은 주요 정보들은 외부에서 확인하기 힘든 확장자명을 붙여두어 파일을 열람할 수는 없는 상태였다.

그러나 일부 페이지의 URL 주소를 조작해 잘못된 페이지나 없는 페이지로 접근했을 때, 에러메시지를 통해 관리자 페이지로 이동할 수 있는 링크를 보내주는 등 쉽게 관리자 페이지를 찾을 수 있는 문제가 발견됐다. 이에 본지는 해당사이트 담당자에게 이러한 내용을 전달하고 수정을 요청한 상태다.

※기사 내용을 악용하여 관리자 페이지에 불법적인 로그인 시도를 하는 등 상용망에 공격을 시도할 경우 법적 책임을 물을 수 있으니 주의하시기 바랍니다.

[디렉토리 리스팅 취약점 해결 TIP]   

디렉토리 리스팅 취약점은 크게 두 가지 방식으로 해결할 수 있으며 그 방법은 다음과 같다.

▲디렉토리 리스팅 취약점 해결방법(좌측-윈도우, 우측-리눅스·유닉스)

사용하는 웹서버가 윈도우일 경우에는 제어판→관리도구→인터넷서비스관리자(인터넷 정보 서비스) 메뉴→ 인터넷 정보서비스→ 웹사이트→ 설정할 사이트로 들어간 후 마우스 우클릭→ 속성→ 등록정보→ 홈 디렉토리 탭 선택→ 디렉터리 검색(B)부분의 체크 해제→적용 순으로 진행하면 된다.

사용하는 웹서버가 리눅스·유닉스의 경우 환경설정 파일인 ‘httpd.conf┖ 파일을 찾아 파일내용 중 Options 항목 뒤에 Indexes라는 구문을 모두 지우고 파일을 저장한 후 웹서버 데몬을 재시작해준다.

[김지언 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>