A시장 후보 공식 홈페이지, 어드민 페이지 노출

B당 광주시당 홈피는 한때 해킹됐다 정상화  

흑색선전에 악용되거나 정보 유출 위험 높아

[보안뉴스 김태형] 6.4 지방선거를 앞두고 후보자들의 홍보 경쟁이 치열한 가운데 각 후보자들의 홍보용 홈페이지 및 정당사이트를 해킹해 후보를 비방하거나 정보를 유출할 위험이 있어 주의가 필요하다.

이러한 상황에서 최근엔 시장 후보 공식사이트의 어드민(Admin) 페이지가 노출되는 취약점이 발견됐다. 이는 어드민 페이지 이름을 admin, administration 등 유추하기 쉬운 상태로 방치해 두었기 때문이다.

이번 취약점은 코드레드(CodeRed)에서 활동하고 있는 숭실고 3년 박상현 군이 발견했다. 박 군은 “이 사이트는 기본적인 ID, PW로 구성돼 있었으며 관리자 페이지에 쉽게 접근이 가능해 보인다”면서 “이렇듯 홈페이지를 제작해주는 업체에서 관리자 페이지를 숨기지 않은 것은 시큐어코딩 지식이 없거나 있다고 해도 보안을 염두에 두지 않았기 때문”이라고 설명했다.

이에 대응하기 위해서는 우선 관리자 페이지 접근 시 외부 IP를 차단해야 한다. 즉 관리자 페이지 이름이 admin, administration 등 유추하기 쉬운 상태가 아니라, 유추할 수 없도록 변경해야 한다. 그리고 관리자 페이지의 ID, PW 또한 유추할 수 없도록 변경해야 하고 SQL 인젝션, XSS 방지를 위한 소스코드 보안(시큐어코딩)이 필수적이라고 할 수 있다.

이러한 어드민 페이지 노출은 국내 상당수 홈페이지에 존재하는데 대부분의 페이지들은 기본적인 시큐어코딩이 구현되어 있지 않을 뿐더러 특별한 방어 메카니즘도 없다.

이러한 취약점을 계속 방치하면 민감하고 중요한 DB정보도 쉽게 열람할 수 있고 외부로 유출시킬 수도 있다. 이러한 사이트들은 악의적 목적을 가진 블랙 해커들의 이상적인 사냥감이 될 수밖에 없다는 얘기다.

아울러 공식사이트에 해당 후보를 비하하거나 희화화하는 사진과 동영상을 올려 해당 후보의 사회적·정치적 이미지 타격과 정신적 피해 등을 초래할 수 있으며 악성코드가 포함된 첨부파일, 게시글, 링크 페이지를 작성하거나 노출시켜 제3자에게 피해를 줄 수도 있다.

현재 이 취약점은 KISA는 물론 해당 후보 선거캠프 측에도 통보됐다. 하지만 선거캠프에서는 어드민 계정과 비밀번호만 변경하는 조치를 취했을 뿐, 어드민 페이지 노출은 패치하지 않고 그대로 방치해둔 상태다.

한편 최근엔 B당의 광주시당 홈페이지도 해킹 당해 홈페이지 접속을 하면 ‘Hacked By Makatana’ 이라는 화면이 보여지기도 했다. 하지만 현재는 사이트가 정상적으로 열리고 있다.

이처럼 6.4 지방선거를 코앞에 둔 시점에서 각 후보자와 정당 홈페이지의 보안 취약점을 통해 특정후보를 비하하거나 흑색선전에 악용할 수 있다. 또한, 당원명부 등 개인정보가 유출될 우려도 있다. 이로 인해 각 후보자 및 정당 홈페이지의 각별한 보안관리가 요구되고 있다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>