서울대학교 홈페이지의 jsp로 만들어진 사이트 원본 소스가 그대로 노출되는 취약점이 발견됐다. 원래 서버 언어는 클라이언트측에 보여지면 안되는 것임에도 불구하고 간단한 구글 검색만으로도 원본소스가 노출되는 상황이다. 서울대 측의 즉각적인 조치가 필요하다.
 
이 취약성을 발견한 최장원(웨비오 코리아 개발팀)씨는 데일리시큐에 이 사실을 알리고 해킹 위험성을 경고하며 조치를 취해야 한다고 9일 밝혔다. 
 
최씨는 “구글에서 <a><span>으로 검색을 해서 제일 하단에 서울대학교 사이트가 나왔다. 당연히 정상적인 사이트라면 사이트 본래의 모습이 보여야 하는데 구글 검색결과가 소스로만 나온 것이 수상했다”며 “열어서 확인해본 결과 jsp 파일 원본이 열렸고 그 중에 로그인이라든지 관련 파일 주소를 붙여 넣었더니 그대로 소스가 노출이 되었다”고 상황을 설명했다.
 
또 “phps를 붙이면 소스가 공개되는 식의 취약점이다. 이런 경우 소스 좀 볼 줄 안다면 서울대 홈페이지 DB가 어떻게 되어 있고 쿼리문도 찾아볼 수 있다”며 “악의적인 크래커라면 얼마든지 좋은 해킹 소스가 될 수 있다”고 경고했다.
 
이러한 원본 소스가 노출될 경우 어떤 문제가 발생할 수 있을까. 최씨는 “일단 가장 큰 문제로는 SQL인젝션 공격이라던지 XSS 공격에 노출될 위험이 있다”며 “이미 어디에 무슨 파일이 있는지 알 수 있기 때문이다. 로그인하는 부분에 DB커넥션 연결을 한다면 DB 아이디와 패스워드도 그대로 보여진다는 것도 큰 문제다”라고 지적했다.
 
서울대는 이 문제를 해결하기 위해 어떤 조치를 취해야 할까. 최씨는 “일단 SSL쪽의 에러 때문에 SSL 설치를 다시 확인해야 한다. 만약 필요하지 않는 환경에서 접속한다면 필터링 등의 검증을 해서 접속이 안되게 해야 할 것”이라며 “우선 SSL이 정상적으로 구동되지 않아 생기는 문제이기때문에 이 부분은 SSL만 다시 잡아도 해결될 것”이라고 조언했다.  
[데일리시큐=길민권 기자]