모 사이버 대학교 행정 인사 시스템 관리자 로그인 페이지가 구글에 그대로 노출되고 있어 보안상 위험한 상황이다. 한편 해당 페이지는 SQL 인젝션 취약점도 존재하는 것으로 보여 신속한 보안조치가 이루어 지지 않으면 각종 해킹 위협에 직면할 수 있다.
 
해당 취약점을 발견하고 데일리시큐에 제보한 단용훈(울산동천고) 학생은 “구글에 해당 사이트 관리자 로그인 페이지가 노출되고 있는 것을 발견했다. 더욱이 로그인 패스워드창에 특정한 구문을 삽입하게 되면 관리자 로그인이 승인 처리가 될 수 있어 홈페이지 관리자 권한으로 접근도 가능해 위험한 상황이다”라고 말했다.
 
제보자는 “SQL 인젝션 필터링을 통해 공격자가 주입하는 구문이 제대로 힘을 발휘하지 못하도록 막아야 하고 또한 관리자 로그인 페이지가 구글에 노출되지 않도록 해야 한다. 외부에 관리자 페이지가 노출되지 않도록 방화벽 정책설정과 특정 IP에서만 관리자 페이지에 접근이 가능하도록 수정해야 한다”고 권고했다.
 
이런 취약점을 방치한다면, 공격자의 악의적인 의도에 의해서 학교 행정 인사 시스템에 무단 침투와 더불어 학사정보 및 학생 개인정보가 유출될 수도 있어 위험하다.
 
데일리시큐는 해당 취약점을 관계 기관에 전달해 보안조치가 이루어질 수 있도록 할 예정이다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com