구글 검색만으로 노출되거나 SQL Injection 공격으로 정보유출 가능

[보안뉴스 김태형]  국내 다수의 대학과 비영리 단체·기관의 홈페이지가 구글 검색만으로 관리자(admin) 페이지가 쉽게 노출됐다. 이에 SQL Injection에 취약할 수 있어 문제가 제기됐다.

구글 검색으로 관리자 페이지가 노출되거나 SQL Injection 공격에 취약한 사이트들은 관리자 권한이 쉽게 탈취되어 회원들의 개인정보가 유출될 수 있고 악성코드를 심어 2차 피해 위험도 높아 보안조치가 시급하다.

이 같은 내용을 본지에 제보한 보안전문가는 “대학이나 비영리 단체 사이트들이 간단한 구글 검색만으로 관리자 페이지가 노출되는 등 보안에 취약했다”고 설명했다.

이렇듯 보안이 취약한 사이트들은 아세아항공전문학교를 비롯해 건국대학교 관련 사이트들도 상당수 포함된 것으로 드러났다. 그 가운데는 건국대학교 항공우주정보시스템공학과 사이트와 건국대학교 국방획득교육센터 사이트, 건국대학교 지능형 운행체 연구원, 건국대학교 프레즐, 건국대학교 언어교육원, 건국대학교 벤처창업지원센터, 평택대학교 등이 이러한 취약점에 노출되어 있는 것으로 확인됐다.

이 외에 다볕디자인학교, 서강전문학교, KOLEES 아시아미용예술학교 연합, 국립목포대학교 법학대학, 숭실융합연구원 홈페이지 등도 관리자 권한이 쉽게 노출되는 보안취약점이 존재하는 것으로 알려졌다. 심지어 어떤 사이트는 로그인도 필요 없이 관리자 페이지로 접근할 수 있는 것으로 조사됐다.

이러한 취약점을 보완하기 위해서는 사이트의 관리자 페이지가 구글 검색에 쉽게 노출되지 않도록 설정을 변경해야 한다. 만약 간단한 SQL Injection 공격에도 관리자 권한을 획득할 수 있다면 홈페이지 자체 보안이 매우 취약하다는 것이기 때문에 취약한 문자열 필터링 등을 통해 대응할 필요가 있다는 지적이다.

이렇듯 구글 검색으로 인한 개인정보 유출이나 관리자 페이지 노출 문제가 자꾸 제기되고 있는 상황에서 무엇보다 중요한 것은 웹 관리자들의 보안의식 개선을 통한 주기적인 취약점 점검과 관리 강화라고 할 수 있다.  
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>