인터넷등기소·전자민원G4C 등 모든 공공사이트 키보드보안 위험! 

순천향대학교 정보보호학과 임강빈 교수에 따르면 “국내 대부분 사이트들의 아이디와 패스워드가 스니핑 공격에 무방비로 노출돼 있어 아이디·패스워드가 그대로 노출될 가능성이 있을 뿐만 아니라  주민등록번호와 키보드로 입력되는 모든 정보들이 위험에 노출돼 있다”고 말했다.

이에 보안뉴스는 17일 임교수가 지도하고 있는 순천향대학교 시스템보안연구실을 찾아 이를 확인해 본 결과 국내 대부분 공공기관 사이트의 아이디와 패스워드가 스니핑에 의해 그대로 노출될 수 있다는 가능성을 직접 확인했다.

대법원 인터넷등기소는 부동산등기, 법인등기 등 각종 등기자료를 발급·열람할 수 있는 중요 기관 사이트라고 할 수 있다. 이 사이트도 이용자들의 아이디와 패스워드를 보호하기 위해 키보드보안프로그램이 작동하고 있었다.

하지만 키보드보안프로그램이 작동하고 있음에도 불구하고 임의로 입력한 아이디와 패스워드가 스니핑 창에 그대로 찍히는 것을 확인할 수 있었다. 물론 회원가입창에서 입력되는 모든 개인정보도 스니핑창에 그대로 노출되었으며 이는 심각한 사회 문제를 초래할 수 있음을 확인했다.

또한 관세청 사이트도 키보드보안프로그램이 작동하고 있음에도 인터넷등기소와 마찬가지로 임의의 아이디와 패스워드가 그대로 노출되는 것을 확인했다. 

뿐만 아니라 행정정보를 공동으로 이용해 국민들에게 행정편의를 제공하자는 취지에서 개설된 행정정보공동이용센터 사이트도 임의의 패스워드가 그대로 노출되는 것을 확인했으며 전자정부에서 관리하고 있는 ┖전자민원G4C┖ 사이트에서도 물론 아이디와 패스워드는 실시간으로 스니핑에 의해 노출될 수 있다는 것이 확인됐다.

키보드보안프로그램이 설치되지 않은 사이트들은 말할 것도 없다. 이들 사이트들도 마찬가지로 스니핑에 무방비로 노출돼 사용자들의 아이디와 패스워드가 그대로 노출되는 것으로 확인됐다. 이용자 PC에 스니핑프로그램 클라이언트가 설치됐다면 키보드 입력정보가 그대로 크래커에게 넘어갈 수 있다는 것이다.

청와대 홈페이지, 국방부 홈페이지, 특허청 홈페이지 등 이들 국가 주요 사이트들도 스니핑에 의해 이용자의 아이디와 패스워드가 너무도 간단하게 노출될 수 있다는 것이 확인돼 충격을 주고 있다.

만약 스니핑 공격에 능한 해외 크래커(해킹 기술을 범죄에 악용하는 범죄자)가 다양한 스니핑 공격방법과 함께 시스템해킹을 시도한다면 인터넷등기소의 모든 서류들은 위·변조의 위험에 노출될 수밖에 없고 관세청도 이와 같은 상황이다. 또 전자민원G4C, 행정정보공동이용센터 등의 사이트에서도 같은 문제가 발생해 심각한 문제가 대두될 수 있는 상황이다. 

더욱이 이용자들의 아이디와 패스워드는 물론 개인정보까지도 모두 빼내갈 수 있는 상황이기 때문에 이에 대한 대비책이 조속히 마련돼야할 판이다.

즉 키보드로 입력되는 모든 정보가 크래커의 손에 넘어갈 수 있다는 것. 그것이 아이디가 됐든 비밀번호가 됐든 주민등록번호가 됐든 혹은 한글로 입력한 이름이나 주소가 됐든 키보드로 입력된 모든 정보가 유출될 수 있다는 것이다. 

대법원 인터넷등기소, 관세청, 전자민원G4C, 행정정보공동이용센터, 청와대, 국방부, 특허청, 각급 시청 홈페이지, 구청 홈페이지 등 국내 모든 공공기관 사이트의 고객정보가 유출될 가능성이 있다는 것이 확인됐다. 정부는 이를 인식하고 특단의 안정화 대책마련을 준비해야 할 것이다.

 

임교수는 “스니핑 공격만으로는 시스템 침해가 어렵겠지만 여러 크래킹 기법을 동원한다면 심각한 문제가 발생할 가능성이 있다. 따라서 공공기관의 모든 사이트 관리자는 네트워크 보안과 시스템 보안에 더욱 신경을 써야 할 것”이라고 강조했다.

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>