11번가·티몬·쿠팡, 바로 보안조치 완료...쿠팡, 제보자에 포상금까지 
위메프는 조치중, 교보문고는 취약점 전달됐지만 묵묵부답  

[보안뉴스 김태형] 국내 주요 온라인 쇼핑몰이 보안취약점 제보에 각기 다른 대처 자세를 보여 주목된다. 

이번에 검증되지 않은 리다이렉트 취약점이 발견된 온라인 쇼핑몰은 11번가, 티몬, 쿠팡, 위메프, 교보문고 등으로, 해당 취약점은 현재 각 사이트에 전달돼 11번가와 티몬, 쿠팡은 현재 보안조치가 완료됐다.

이번 취약점을 발견한 인제대학교 정보보안동아리 ‘돗가비’ 이상철 씨는 “이번에 여러 온라인 쇼핑몰 사이트의 비밀번호 변경페이지에서 검증되지 않은 리다이렉트 취약점을 발견했다”면서 “11번가와 티몬, 쿠팡은 이미 해당부서에 통보해 조치가 완료된 상태고, 위메프는 곧 조치를 취하겠다는 답변을 받았다. 그러나 교보문고 사이트는 고객문의를 통해 알린지 꽤 오래됐지만 아직 답변을 받지 못했다”고 밝혔다.

이 취약점은 해당 쇼핑몰 사이트 로그인 페이지에서 다음페이지로 연결시켜 주는 과정에서 특정 파라미터 값을 필터링하지 않아 외부 서버의 URL을 입력하면 해당 URL로 제한 없이 연결되는 취약점이다.

이러한 취약점을 이용해 공격자는 웹 사이트 사용자들을 피싱 사이트로 유도해 개인정보 등을 절취할 수 있고 악성 사이트를 통해 바이러스 또는 웜을 설치하게 할 수 있다. OWASP Top 10에 해당하는 취약점인 만큼 세심한 주의가 필요하다고 볼 수 있다.

이 취약점에 대응하기 위해서는 웹사이트에서 단순한 리다이렉트의 사용을 피하고 목적지 URL이 어떤 값을 포함하고 있는지 검증해야 한다. 또한, 그러한 URL을 화이트리스트 방식으로 구별해 사이트 전환 시 사용자가 기존 사이트를 벗어날 경우, 팝업창으로 경고해야 한다는 게 이상철 씨의 설명이다. 

이번 보안취약점 제보와 관련해 무엇보다 주목을 끄는 건 교보문고를 제외한 온라인 쇼핑몰 측이 그 어느 때보다 신속하게 대응했다는 점이다. 11번가, 티몬, 쿠팡은 제보를 받은 직후, 바로 수정조치를 완료한 것으로 나타났다. 

특히, 쿠팡 측에서는 취약점을 찾아 제보한 이상철 씨에게 감사 표시로 쿠팡에서 쇼핑이 가능한 5만 포인트를 포상금으로 지급한 것으로 알려졌다. 취약점 제보에 대해 못마땅해하거나 심지어 화를 내는 기업이 많은 국내 보안 현실에서 매우 신선하게 받아들여지고 있다. 

쿠팡의 경우처럼 국내 기업들이 보안취약점 제보에 대해 좀더 적극적으로 대응하해야 한다는 목소리가 높다. 제보한 취약점의 심각성에 따라 포상금을 차등 지급하는 이른바 ‘버그카운티’ 제도를 활성화할 필요성이 있다는 지적이다.   
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>