파로스 프록시 프로그램 이용해 파라미터 값 변조

[보안뉴스 김태형] 6일 경찰 수사 발표로 밝혀진 KT 해킹 사건은 해커가 파로스라는 프로그램을 이용해 KT 홈페이지의 허점을 노린 것으로 파악되고 있다.

이번 KT 홈페이지 해킹에 사용된 해킹툴 ‘파로스 프록시(Parosproxy)’는 인터넷 검색으로도 쉽게 찾을 수 있고 제작사 홈페이지에 접속해서 누구나 내려받을 수 있으며 자세한 사용방법은 쉽게 구할 수 있어 초보자나 중학생 정도면 사용할 수 있다.

이 프로그램은 원래 웹사이트의 취약점을 점검하고 분석하기 위해 만들어졌지만, 이를 역으로 이용하면 웹 해킹 도구로도 사용이 가능하다는 것.

이 파로스 프로그램은 클라이언트와 웹 서버 사이에 자리 잡고 있다가 오가는 각종 정보를 중간에서 가로채 볼 수 있는 기능을 갖고 있다. 이를 바탕으로 홈페이지 자체의 보안 홀이나 버그를 노리고 인터넷으로 나가는 패킷을 중간에서 가로채서 저장하고 있다가 변조하는 것이다.

이에 대해 보안전문기업 KTB솔루션 김태봉 대표는 “파로스라는 프로그램은 통상 서버와 웹브라우저에 접속할 때 파라미터 값을 조작해서 넣을 수 있다. 해커는 처음부터 KT 고객 1200만건의 정보를 빼낼 수는 없었을 것이다. 우선 해커는 자기 계정으로 KT 홈페이지에 로그인 했을 것”이라고 말했다. 

이어서 그는 “경찰은 고유의 9자리 숫자를 넣어서 접근했다고 경찰을 밝혔는데 해커는 자기 계정으로 KT 홈페이지에 로그인 한 뒤에, 파로스를 이용해 다른 사람의 ID와 패스워드를 몰라도 다른 사람이 로그인 했다는 것을 파라미터 값을 변조해 인증을 받고 접속할 수 있으며 이를 통해 고객정보를 빼낼 수 있었을 것”이라고 설명했다.

이는 웹 서비스의 가장 기본인 인증 값에 대한 검증이 안된 것으로, 처음부터 기본적인 웹 서비스 구성을 잘못 했다고 볼 수 있다는 것. 즉 웹 개발 구성 당시부터 인증 처리에 관한 절차를 제대로 검증하지 않은 것이라고 강조했다.

김 대표는 “파로스를 이용해 쉽게 할 수 있는 것 중에 하나가 웹하드에서 인증 값을 바꿔치기하는 것이다. 예를 들면 유료 서비스의 승인번호를 바꿔치기 해서 과금은 다른 사람에게 물리고 서비스는 공격자가 받을 수 있다”면서 “웹하드 대부분에서 이러한 방법이 통한다. 온라인 쇼핑몰에서도 사용이 가능해 상품 금액의 변조나 승인번호 변조가 충분히 가능하다”고 덧붙였다.

이러한 보안의 홀을 막으려면 웹 개발을 할 때부터 이러한 인증값이 웹상에서 노출되지 않도록 해야 하는데, 대부분의 홈페이지는 이를 간과해서 KT와 같은 보안 문제가 생긴다는 것이 김 대표의 설명이다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>