민감·중요한 정보 쉽게 열람, 외부 유출도 가능해

[보안뉴스 김태형] 6.4 지방선거일이 하루가 채 남지 않은 가운데 각 후보자들은 막바지 유세에 힘을 쏟고 있다. 본지는 이번 선거를 앞두고 일부 후보자들의 홈페이지가 보안에 취약하다고 지적한 바 있다. 이러한 가운데 B교육감 후보의 홈페이지도 보안에 취약한 것으로 확인됐다.

6.4 지방선거 후보로 나선 B교육감 후보의 홍보용 홈페이지에서 Admin 페이지가 노출되는 취약점이 발견됐다. 또 이 홈페이지는 ‘Brute Force Technique(무작위 대입 기법)’ 또는 ‘Brute Forcing Attack(무작위 대입 공격)’에도 취약한 것으로 확인됐다.

숭실고등학교 박상현 군은 “해당 후보의 공식사이트의 Admin 페이지 노출과 더불어 일반적인 ID, PW의 인증방식과 달리 PW 인증만 사용하고 있기 때문에 암호만 알면 관리자로 접근이 가능하다”면서 “때문에 공격자는 Brute force technique(무작위 대입 기법) OR Brute forcing attack(무작위 대입 공격)으로 별다른 노력 없이 암호를 알아내어 관리자로 접근할 수 있는 위험이 있다”고 설명했다.

이와 같이 선거 후보자 홈페이지의 Admin 페이지 노출과 다양한 공격에 취약한 이유는 홈페이지 담당자가 보안위협에 대해 심각하게 생각하지 않고 이에 대응하지 않았기 때문이다.

이에 대응하기 위해서는 관리자 페이지의 이름이 admin, administration 등과 같은 유추하기 쉬운 상태가 아닌 관리자 페이지를 분리시키고 페이지 이름 또한 유추할 수 없도록 변경해야 한다.

박 군은 “B교육감 후보의 공식사이트 관리자 페이지는 제1인증 요소를 사용하고 있기 때문에 암호만 사용하는 인증 방법은 매우 위험하다”면서 “암호만 사용하는 인증방식은 암호만 있으면 인증에 성공하고 접근이 가능하기 때문에 블랙 해커들의 이상적인 공격 대상이 될 수 밖에 없어 각별히 주의해서 ID, PW를 구성하고 외부 IP의 접근을 차단시켜야 한다. 또 SQL injection, XSS 공격 방지를 위한 소스코드 보안관리(시큐어코딩)도 필수다”라고 말했다.

이처럼 Admin 페이지 노출은 국내 웹페이지의 상당수가 존재하는데 대부분의 페이지들은 암호구성이나 기본적인 시큐어코딩은 물론 방어적 메카니즘으로 구성된 것도 아니다.

공격자들은 이를 이용해 민감하고 중요한 DB정보도 쉽게 열람할 수 있고 외부로 유출시킬 수도 있다. 만약에 블랙 해커라면 이슈가 되고 있는 선거 후보자와 관련된 내용이 있는 링크주소 등을 공식사이트(악성사이트)에 올려 악성코드에 대량 감염시키는 등의 행위도 가능하다.  

박상현 군은 “이러한 취약점을 이용하면 공격자들은 선거 후보자들의 공식사이트에 해당 후보를 비방하거나 희화화 하는 게시글이나 사진·동영상을 올려 해당 후보의 공정성을 해치는 등 선거에 악영향을 미칠 수도 있다”면서 “악성코드가 포함된 첨부파일, 게시글, 링크 페이지를 작성하거나 노출시켜 사이트 접속자에게 피해를 줄 수 있어 주의해야 한다”라고 강조했다.

한편 해당 취약점은 KISA에 통보된 상태이며 아직 패치가 되지는 않았다. 이에 KISA 측은 해당 취약점을 검증했으며 대상 홈페이지 운영자에게 해당 취약점 정보를 전달한 것으로 알려졌다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>