해당 사이트 SSL 웹서버 인증서 설치로 보안 강화 필요

이용자는 악성코드 감염 위험...P2P 이용 자제해야

[보안뉴스 김태형] 국내 P2P(Peer to Peer) 사이트 상당수가 아직 로그인 정보(ID·PW)가 암호화되지 않은 채로 전송되어 여전히 보안에 취약한 것으로 나타났다.

분당 야탑고등학교 2학년 방준식 학생은 “포털사이트 검색으로 쉽게 접근할 수 있는 다수의 P2P사이트들에서 사용자들의 아이디, 패스워드 등 로그인 정보가 암호화되지 않은 채 전송되는 문제를 발견했다”면서 “공공장소의 와이파이 등과 같이 여러 사람이 사용하는 공용 네트워크에서 로그인을 하게 되면, 와이어샤크(Wireshark)와 같은 간단한 패킷분석 프로그램으로도 동일 네트워크를 사용하는 다른 사람이 사용자의 아이디와 패스워드를 쉽게 볼 수 있다는 문제점이 있다”고 말했다.

이번에 확인된 사용자 로그인 아이디와 패스워드가 암호화되지 않은 채로 서버에 전송되는 취약점이 존재하는 P2P사이트는 ‘X디스크·파일X·파일X·파일XX·XXX파일·XX디스크·XX파일’ 등이다.

방준식 학생은 “이와 같은 각각 사이트에서 임의로 ID·PW를 정하고 로그인을 시도한 뒤, 와이어샤크(Wireshark)의 Follow TCP Stream을 이용해 패킷분석을 통해 ID와 PW가 암호화되지 않은 채 그대로 드러나 있는 모습을 확인할 수 있었다”고 덧붙였다.

이와 같은 취약점은 SSL(Secure Socket Layer) 웹서버 인증서를 이용하면 해결할 수 있다. 보안이 취약한 사이트에 웹서버 인증서를 웹서버에 설치하면 웹사이트에서 이루어지는 모든 정보가 ‘https://’ 암호화 프로토콜을 이용해 안전하게 전송된다. 따라서 SSL이 설치된 사이트는 공공장소에서 로그인·회원가입 등의 개인정보를 입력해도 스니핑(sniffing)에 의한 정보 도용을 방지할 수 있다.

아이디나 패스워드 등의 로그인 정보를 암호화하지 않은 채 전송할 경우 정보통신망법 제28조(기술적·관리적 조치를 아니한 자) 위반에 해당되며 정보통신망법 제76조 1항에 의해 3000만원 이하의 과태료 등 행정처분을 받을 수 있다.

이번 조사 대상인 P2P사이트의 대부분에서 이와 같은 문제점이 나타났으며, 현금과 같은 포인트 제도가 있기 때문에 사용자들의 ID·PW가 노출될 경우 금전적인 피해로까지 연결될 수 있어 문제가 심각하다는 지적이다.  

한편, 여름 휴가철을 맞아 P2P 사이트에 많은 사용자들이 접속해 TV 프로그램이나 어플리케이션, 영화, 동영상을 다운로드 받을 것으로 보인다. 이 때문에 공격자가 의도적으로 인기 있는 프로그램에 악성코드를 심어 서버에 올려놓기만 하면 누구나 악성코드에 감염될 수 있는 취약점도 있어 이용자들의 각별한 주의가 필요하다. 

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>