2020-05-28 01:10 (목)
모 공공사이트에 심각한 정보유출 취약점 다수 발견돼
상태바
모 공공사이트에 심각한 정보유출 취약점 다수 발견돼
  • 길민권
  • 승인 2016.08.10 12:51
이 기사를 공유합니다

“서버 및 웹메일 계정정보, 소스코드 및 설정파일 등 노출될 수 있는 상황”

정부에서 운영하는 모 공공 웹사이트와 모바일 버전에 심각한 보안취약점이 발견돼 웹서버내 파일 목록과 내용 열람이 가능한 상황이다. 또 WAS와 메일 계정 등이 노출될 수 있고 웹 마스터 계정으로 로그인도 가능하고 SQL쿼리 열람도 가능한 것으로 드러나 신속한 보안조치가 필요한 상황이다.
 
해당 사이트는 온라인 공간에서 일반인이나 기업 등 다양한 경제 주체들이 참여해 자유롭게 아이디어를 제안하고 발전시킬 수 있는 아이디어 구현 플랫폼 사이트다. 이에 관련 기관과 기업 그리고 창업자들의 많은 접속이 이루어지고 있기 때문에 이번 취약점으로 인해 정보유출 사고로 이어질 수 있는 위험성이 크다.
 
이번 취약점을 발견하고 데일리시큐에 제보한 김예원씨는 “특정 취약점 구글링 도중 우연히 해당 사이트의 취약점을 발견하게 됐다. 기업과 참가자들의 정보가 유출될 수 있는 위험성이 크다고 판단해 신속한 보안패치가 이루어지길 바란다”며 “이번 취약점은 디렉터리 인덱싱 취약점으로 웹 루트 디렉터리에 디폴트 파일이 존재하지 않을 경우와 보안상 설정 오류 등으로 디렉터리 인덱싱이 활성화 되어 있을 경우 디렉터리 내의 파일 리스트가 웹 브라우저에 노출되는 취약점이다. 공격자는 이 취약점을 이용해 웹서버 내 디렉터리의 구조를 파악하고 주요 소스 파일 또는 설정 파일을 다운로드하는 등 정보유출 사고로 이어질 수 있다. 특히 취약점이 발견된 페이지는 구글링을 통해 쉽게 접근이 가능해 위험하다”고 설명했다.
 
즉 이 취약점을 통해 해당 사이트의 서버 및 웹메일 계정정보, 소스코드 및 설정파일 등이 노출될 수 있는 상황이다.
 
이번 취약점을 패치하기 위한 방안에 대해 그는 웹 서버 환경설정에서 디렉터리 인덱싱 기능을 제거해야 한다고 강조했다. 설정 방법은 아래와 같다.
 
◇Apache의 경우 httpd.conf 파일 내 DocumentRoot 항목의 Options에서 해당 디렉터리의 파일 목록을 보여주는 지시자인 Indexes 제거
 
◇IIS 7.0의 경우 [설정] > [제어판] > [관리도구] > [인터넷 서비스 관리자] 선택 후 해당 웹 사이트 우클릭 후 [등록 정보] > [홈 디렉터리] 탭 > [디렉터리 검색] 체크 해제
 
◇WebtoB의 경우 $ {WEBTOBDIR}/config/http.m 파일 내 Options 항목에서 index 옵션을 삭제하거나 –index 값으로 설정
 
또 일반적인 웹 취약점 점검은 해당 사이트 내 체크리스트 기반으로만 진행하는 경우가 많기 때문에 대국민 서비스 등 외부에서 접근 가능한 사이트의 경우 구글 등의 검색엔진 내 취약점이 노출되는지 추가 점검이 필요하다고 설명했다.
 
더불어 제보자는 “해당 사이트 외에도 검색만으로 접근 가능한 공공기관 등의 디렉터리 인덱싱 페이지가 다수 존재하며 이러한 취약점들은 공식적인 보안점검 외 개인이 해당 기관에 직접 취약점 제보를 할 수 있는 제도가 시행되면 보다 안전한 웹 사이트 운영이 가능할 것으로 판단된다”고 의견을 밝혔다.
 
데일리시큐는 해당 취약점에 대해 관련 기관에 내용을 전달하고 보안패치가 이루어질 수 있도록 할 예정이다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com