2024-03-29 21:30 (금)
네이버 부동산 경매물건조회 페이지에 SQL인젝션 취약점!
상태바
네이버 부동산 경매물건조회 페이지에 SQL인젝션 취약점!
  • 길민권
  • 승인 2012.07.18 04:08
이 기사를 공유합니다

TeamWeb팀 “경매물건 정보 모두 가져올 수 있고 웹쉘 설치도 가능해”
네이버 “해당 서비스는 외부업체에서 관리…현재 취약점 패치 완료”
NHN(대표 김상헌) 네이버가 서비스하는 부동산 경매물건조회 페이지에 SQL인젝션 취약점이 존재한다는 것이 드러났다. 이번 취약점은 product_id 값을 통해 SQL injection 공격이 가능한 것으로 중고생 보안팀 TeamWeb에서 처음 발견했으며 7월 16일 데일리시큐에 제보해 왔다. 
 
TeamWeb팀은 “이 취약점으로 네이버 부동산 경매정보들을 모두 가져올 수 있으며 웹쉘을 올릴 수도 있는 취약점”이라며 “올린 웹쉘을 이용해 DB계정 정보가 담긴 PHP파일도 다운받을 수 있는 상황이다. 신속한 조치가 필요하다”고 밝혔다.
 
이럴 경우 DB계정 정보가 담긴 PHP파일이 관리자 계정 정보(ID/PW)를 가지고 있다면 공격자는 해당 페이지에 대한 모든 권한을 가지고 네이버 경매정보 갈취, 변경, 삭제, 회원정보 빼오기 등 다양한 공격을 가 할 수 있는 상황으로 매우 위험하다.  
 
TeamWeb팀은 유료 경매정보에 대해 “블라인드 SQL injection을 이용해 유료 경매자료도 모두 가져올 수 있는 상황이다. 그것을 파이썬이나 VB6.0 등으로 간단히 수집툴을 개발해서 일일이 SQL injection을 시도하지 않고 자동으로 수집해올 수도 있다”고 위험성을 전했다.
 
더욱이 이 취약점을 통해 네이버 부동산 페이지를 이용하는 회원들의 개인정보도 빼 올 수 있다고 한다. 해당 서비스는 리스트페이지 상단에서 "XXX님" 라고 세션으로 닉네임을 출력해주고 있다. 공격자는 웹쉘로 ca_list.php 파일을 열어 어떤 방식으로 아이디를 닉네임으로 출력해주는지 대해 살펴보면 세션으로 네이버 경매물건 조회 페이지에 접속한 회원들의 이름, 핸드폰 번호 등 개인정보를 알아낼 수 있다는 것이다. 이외에도 이 취약점을 통해 회원들의 개인정보를 알아 낼 수 있는 다양한 방법들을 악의적 공격자들은 제보자보다 더욱 많이 알고 있는 상황이다.
 
이러한 위험상 상황을 초래할 수 있는 취약점은 아주 사소한 문제에서 발생한다. TeamWeb팀은 “product_id는 숫자로 이루어져 있어 개발자가 실수를 한 것이다. 아주 간단한 방법으로 해결 될 문제”라며 “하지만 이런 사소한 실수가 보안입장에서는 꽤 큰 위협이 될 수 있기 때문에 항상 주의해야 한다”고 강조했다.  
 
◇네이버 입장=이에 네이버 관계자는 “네이버 부동산 경매정보는 goodauction.land.naver.com으로 제공되는데 여기에 SQL injection 취약성이 있었던 것을 인정한다”며 “이 사이트는 외부사인 굿옥션(goodauction.co.kr)에서 개발하고 제공하고 있다”고 해명했다.  
 
그리고 “데일리시큐의 통보를 받고 네이버 부동산 개발팀을 통해 굿옥션 업체 측에 취약성 정보를 전달했다. 오늘(17일) 오후 중으로 수정될 예정”이라고 밝혔다. 해당 취약점은 17일 오후 패치가 된 상태다.
 
한편 네이버 관계자는 “이미 알고 있었던 취약점이고 이런 SQL인젝션 취약점 발견이 법적으로 문제가 될 수 있다”고 말했다.
 
이러한 생각은 꼭 짚고 넘어갈 부분이다. 그렇다면 왜 신속하게 패치를 하지 않았을까를 생각해 봐야 한다. 기사로 내겠다고 하면 대부분 업체들이 최대한 빨리 패치를 한다. 하지만 일반 제보자들이 취약점을 업체에 직접 알려주면 신속함이란 찾아볼 수 없다. 귀찮아서인지 아니면 너무 바빠서인지 알 수는 없지만 패치속도는 너무 차이가 난다는 점이다.  
 
또 법을 운운하기 전에 과연 누구를 위한 취약점 제보인지를 잘 생각해 보길 바란다. 기사로 한번 나와서 이미지 살짝 깎이고 보안을 강화하는 것이 이득인지 아니면 간과했던 사소한 취약점들로 인해 대형 보안사고가 터져서 회사가 휘청거리고 고객이 썰물처럼 빠져 나가는 것이 좋은지를 잘 생각하고 이런 취약점 제보에 귀 기울여야 한다.   
 
이번 취약점을 발견한 TeamWeb은 팀장 오지훈과 김지수로 멤버가 구성되어있다. 지난해 만들어져 팀 멤버 페이지와 메신저를 통해 함께 토론하고 취약점에 대해 분석하고 있는 학생팀이다. 현재 내년 코드게이트 등 해킹방어대회를 준비하고 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

관련기사