국내 여러 공공기관과 상당수 대학교 홈페이지 제작시 사용되고 있는 모 홈페이지 템플릿 솔루션(기사 보도후 해당 업체가 신속한 보안조치를 데일리시큐에 약속하고 현재 작업중이므로 구체적인 솔루션명과 해당업체명은 무기명으로 처리하겠다.)  하위 버전을 사용하는 경우 URL변조 공격으로 대부분 관리자 페이지로 접속이 가능한 상황이란 것이 밝혀졌다. 이 문제는 해당 솔루션의 문제라기 보다는 최신 버전으로 버전업을 하지 않고 하위 버전을 그대로 사용하고 있는 대학교 홈페이지 관리자의 문제라고 볼 수 있다.
 
이 문제를 데일리시큐에 제보한 UniH4ck5팀 운영진 임준오(동탄 석우중학교) 군은 “이 솔루션을 사용하는 대학교 홈페이지에서 하위버전을 그대로 사용하는 경우 URL변조 공격으로 대부분 관리자 페이지로 연결이 되는 것을 발견했다”며 “이는 홈페이지 관리자가 최신 버전으로 업그레이드를 소홀이 한 문제”라고 지적했다. 현재 많은 대학교가 이 솔루션의 하위버전을 사용하고 있는 상황이라 더욱 위험하다.  
 
임 군은 “악의적 해커가 관리자 페이지에 접근을 하면 대학 홈페이지를 마음대로 훼손할 수 있고 수정도 마음대로 할 수 있게 된다. 또 웹쉘 업로드가 가능하다”고 주의를 당부했다.
 
또 그는 “해당 솔루션을 사용하고 있는 대학 홈페이지들이 상당수 SQL데이터의 암호화 방식을 디코딩이 가능한 base64 암호화 기술을 사용하고 있는 것도 문제”라고 지적했다.
 
더불어 정보유출에 대한 위험성도 높다고 지적했다. 임 군은 “요즘 서버는 노바디 권한으로 돌아가고 있어 악의적 해커가 DB관련된 config파일만 찾으면 대학교 학생들의 개인정보유출이 심각할 정도로 많이 발생할 수 있다”고 지적하고 “특히 SQL파일에 학생의 비밀번호가 해쉬암호화가 아닌 디코딩이 가능한 base64로 암호화 되어 있는 것으로 보인다. 대학 사이트 관리자의 신속한 패치와 대학교들의 보안솔루션 도입 그리고 노바디 권한 해제가 시급한 상황이다”라고 강조했다.
 
더불어 웹쉘이 업로드 되는 상황이기 때문에 추가적인 해킹피해가 우려되는 상황이다. 해당 솔루션을 개발한 업체 측은 하위 버전을 그대로 사용하고 있는 대학과 공공기관 홈페이지 관리자에 이러한 문제가 발생할 수 있다는 것을 알리고 신속한 보안조치 권고를 해야 할 것으로 보인다.
 
또한 대학들은 학생들의 개인정보를 디코딩이 가능한 base64로 암호화한 것은 정보유출 사고가 발생했을 때 큰 피해를 발생시킬 수 있다. 이 부분에 대해서도 보안강화 조치가 이루어져야 할 것이다.
 
현재 해당 솔루션을 사용하고 있는 곳은 상당수 공공기관뿐만 아니라 국내 유명 대학교를 비롯한 상당수 대학교 홈페이지에서 사용하고 있는 중이다.

데일리시큐 길민권 기자 mkgil@dailysecu.com