하지만 여전히 골프장 웹사이트는 취약한 상황이다. 간단한 SQL인젝션 공격만으로도 회원들의 개인정보가 유출될 수 있는 곳이 존재하고 있어 한국인터넷진흥원 등 관계 기관의 보다 철저한 점검과 후속조치가 필요하다.
18일, 용인 지역 일부 골프장 웹사이트 예약 페이지에서 SQL인젝션 기법을 이용하면 간단하게 인증을 우회하는 취약점이 발견되었다. 웹사이트에서 데이터베이스를 유출할 수 있는 공격으로 SQL인젝션은 기본적이면서도 악의적 해커들이 자주 사용하는 해킹수법이다.
얼마전 해킹그룹 어나니머스는 인터넷상에 한국 공공기관 중 SQL인젝션 취약점이 존재하는 사이트 URL을 공개한 바 있다. 다시 말해 해당 사이트의 DB를 빼내올 수 있다는 것이다. 한편 지난 3월 초 발생했던 ‘여기어때’의 340여 만건의 개인정보 유출 사고도 SQL인젝션 공격에 의해 발생했다.
국내 모 보안전문가는 “SQL인젝션은 투자 시간대비 효과가 큰 관계로 많은 초보 해커들이 관심을 가지고 공부하는 분야이기도 하다. 2000년대 중반에 만들어진 수 많은 웹사이트들은 이 부분에 취약한 상태”라고 설명했다.
국내 많은 골프장 사이트에서도 유사한 문제가 여전히 존재하는 것으로 확인되었다. 입력된 값을 데이터베이스에서 검색하는 과정의 쿼리문을 조작하는 방식으로, 사이트의 구성 상황에 따라서는 로그도 남지 않을 수 있다. 또한 개인정보를 유출할 수 있는 부분도 발견되었다. 몇몇 골프장 사이트에서는 XSS 및 파일업로드 취약점도 존재할 것으로 판단된다.
해결 방법은 Statement 객체로 구현된 데이터베이스 연결 방식을 PreparedStatement 객체 형태로 개선하면 된다.
행정자치부는 지난달 한국골프장경영협회와 한국골프연습장협회 등 두 곳을 개인정보보호 자율규제단체로 지정한 바 있다.
하지만 국내 많은 골프장 사이트가 보안에 대한 인식 부족으로 보안사각지대에 놓여있다. 자율 규제와 함께 관계 기관의 국내 골프장 웹사이트 점검도 필요한 상황이다.
★정보보안 대표 미디어 데일리시큐!★