2024-03-29 01:35 (금)
오렌지미디어 유료강좌, mms 주소 노출 취약점 발견!
상태바
오렌지미디어 유료강좌, mms 주소 노출 취약점 발견!
  • 길민권
  • 승인 2012.08.22 04:11
이 기사를 공유합니다

mms 주소 노출돼 유료강좌를 무료로 볼 수 있는 상황
취약점 알려주고 수정권고에도 불구…여전히 조치 않고 있어
프로그래밍 강좌를 전문으로 하는 ‘오렌지 미디어 강좌’ 사이트에 취약점이 발견돼 유료 강좌를 무료로 볼 수 있어 조치가 필요한 상황이다. 이 사이트는 강좌별로 2만원이 넘는 비용을 지불해야 사용자가 볼 수 있도록 돼 있지만 간단한 취약점으로 인해 유료강좌를 무료로 볼 수 있는 허점이 발견됐다.

 
이 취약점을 발견해 데일리시큐에 제보한 박재영(광주숭일중학교)군은 “프로그래밍 공부를 하기 위해 강좌사이트를 찾다가 우연히 해당 사이트를 알게 됐다. 하지만 너무도 쉽게 유료 강좌를 무료로 볼 수 있는 허점이 발견돼 해당 사이트에 피해가 발생할 우려가 있어 발견 즉시 사이트 운영자에게 전화를 했다. 하지만 심각하게 받아들이지 않고 조치를 취하지 않아 데일리시큐에 제보하게 됐고 신속하게 조치를 취했으면 하는 바람이다”라고 밝혔다.
 
자신이 운영하는 사이트에 금전적 피해가 발생할 것을 알려주고 수정할 것을 권고했는데도 조치를 취하지 않는 이유는 무엇일까.
 
해당 취약점은 MMS(멀티미디어 메시지 서비스 서비스) 주소가 노출되기 때문에 발생하는 취약점이다.
 
MMS란 글자 위주의 단문 메시지 서비스(SMS)에서 발전해 사진, 소리, 동영상 등의 멀티미디어 메시지를 만들어 보내는 방식을 말한다. 카메라나 MP3 플레이어가 내장된 휴대폰에 대부분 탑재돼 있다.
 
http://와 같이 mms://로 멀티미디어를 보내는 방식이다. 해당 사이트는 현재 mms 주소가 노출되고 있는 상태이며 노출된 주소를 조금만 변조하면 해당 사이트에서 서비스하는 모든 유료 강좌를 무료로 볼 수 있는 상황이다.
 
박군은 “이 취약점을 개선하기 위해서는 샘플강의 주소를 바꾸고 mms 주소 노출에 대해 운영자가 각별히 유의해야 한다”고 조언했다. 

한편 해당 업체가 피해를 당하지 않도록 제보자가 직접 운영자에게 연락해 취약점 수정을 권고했는데도 불구하고 즉각적인 보안조치를 하지 않았다는 것은 문제다.  그 정도 피해는 감수하고 가겠다는 것인지 납득이 가질 않는다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★