인증 없이 관리자 권한 획득...정보유출·악성코드 유포 위험

[보안뉴스 김태형] 국내 다수 웹사이트가 구글 검색만으로 관리자 페이지가 노출되는 취약점을 가지고 있어 이용자들의 주의가 필요하다. 

      

이러한 취약점은 구글 검색만으로 웹페이지 회원들의 민감한 개인정보에 접근이 가능하고 관리자의 권한을 이용해 악성코드를 심어놓는 등의 2차 피해가 발생할 수 있다.

이번 취약점은 육군 정보보호기술병으로 알게 돼 현재 보안연구그룹 ‘1713.C9’로 함께 활동하고 이수민, 오민택, 안병우 씨 등이 본지에 제보해 알려졌다.

이는 구글 검색으로 관리자 페이지가 노출되는 것과 함께 웹페이지 접근 시 인증과정이 아예 없거나 쉽게 우회가 가능하다는 것이 원인으로 파악된다.

아울러 ****로 표시해 놓았다고 해도 크롬의 요소검사 편집기능으로 ‘type=password’를 제거하면 비밀번호를 평문으로 확인할 수 있다는 문제도 지적됐다. 해당 취약점 발견은 구글 검색만으로 가능했으며, 개인정보가 노출된 페이지에서는 크롬 요소 검사만으로 패스워드가 노출되는 것을 확인했다는 게 ‘1713.C9’ 측의 설명이다.

제보자 이수민 씨는 “이러한 취약점에 대응하기 위해서는 해커에게 관리자 계정 로그인 페이지를 쉽게 노출시키지 않도록 해당 주소를 ‘/admin’과 같은 단순한 것이 아닌 관리자만 알 수 있는 주소로 변경해주는 것이 좋다”고 설명했다.

‘1713.C9’팀에서 제시한 보다 구체적인 해결방법은 다음과 같다. 우선 관리자 페이지를 찾을 수 없도록 루트 폴더에 ‘robots.txt’를 만들어 ‘User-agent: *; Disallow: /’ 등의 내용을 입력해 검색엔진에 걸리지 않도록 조치해야 한다. 

또한 페이지 접근 시 IP나 MAC 주소를 이용한 ACL(Access Control List)을 설정한 후, 페이지 세션을 검사하고 회원정보 수정이나 회원정보 관리 페이지에서 비밀번호를 DB로 가져와 띄우지 않도록 해야 한다.

한편 해당 취약점으로 관리자 페이지가 노출된 사이트는 △리더스가이드 △삼정 그린코어 분양사이트 △지학사 △한국농림수출입조합 △광주교수학습지원센터 △(주)지니스 △양구포털 △한국기술교육대학교 원격평생교육원 등이다.

본지는 해당 취약점이 발견된 웹페이지에 대해 각 사이트  담당자들에게 알리고 신속한 조치를 권고했다. 이들 사이트 중에서 한국기술교육대학교 원격평생교육원 사이트는 현재 개발, 테스트 중인 사이트이며 현재 운영되는 사이트는 아닌 것으로 밝혀졌다.  

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>