2020-12-01 00:10 (화)
국내 골프장 사이트, 회원 개인정보 유출 위험 취약점 발견돼
상태바
국내 골프장 사이트, 회원 개인정보 유출 위험 취약점 발견돼
  • 길민권 기자
  • 승인 2017.07.18 16:52
이 기사를 공유합니다

용인지역 모 골프장 등 국내 골프장 사이트 회원정보 유출 위험성 커

▲ SQL인젝션 공격으로 개인정보가 유출된 '여기어때' 사건. 국내 골프장 사이트들도 유사한 취약점이 존재해 위험한 상태다.
▲ SQL인젝션 공격으로 개인정보가 유출된 '여기어때' 사건 개요도. 국내 골프장 사이트들도 유사한 취약점이 존재해 위험한 상태다.
행정자치부는 지난 3월, 2011년 9월 개인정보보호법 시행 이후 처음으로 개인정보보호 실태 현장점검을 실시했다고 밝혔다. 점검 대상은 바로 다량의 개인정보를 보유하고 있는 골프장, 프로야구단, 상조회사, 연예기획사 등이었다.

하지만 여전히 골프장 웹사이트는 취약한 상황이다. 간단한 SQL인젝션 공격만으로도 회원들의 개인정보가 유출될 수 있는 곳이 존재하고 있어 한국인터넷진흥원 등 관계 기관의 보다 철저한 점검과 후속조치가 필요하다.

18일, 용인 지역 일부 골프장 웹사이트 예약 페이지에서 SQL인젝션 기법을 이용하면 간단하게 인증을 우회하는 취약점이 발견되었다. 웹사이트에서 데이터베이스를 유출할 수 있는 공격으로 SQL인젝션은 기본적이면서도 악의적 해커들이 자주 사용하는 해킹수법이다.

얼마전 해킹그룹 어나니머스는 인터넷상에 한국 공공기관 중 SQL인젝션 취약점이 존재하는 사이트 URL을 공개한 바 있다. 다시 말해 해당 사이트의 DB를 빼내올 수 있다는 것이다. 한편 지난 3월 초 발생했던 ‘여기어때’의 340여 만건의 개인정보 유출 사고도 SQL인젝션 공격에 의해 발생했다.

국내 모 보안전문가는 “SQL인젝션은 투자 시간대비 효과가 큰 관계로 많은 초보 해커들이 관심을 가지고 공부하는 분야이기도 하다. 2000년대 중반에 만들어진 수 많은 웹사이트들은 이 부분에 취약한 상태”라고 설명했다.

국내 많은 골프장 사이트에서도 유사한 문제가 여전히 존재하는 것으로 확인되었다. 입력된 값을 데이터베이스에서 검색하는 과정의 쿼리문을 조작하는 방식으로, 사이트의 구성 상황에 따라서는 로그도 남지 않을 수 있다. 또한 개인정보를 유출할 수 있는 부분도 발견되었다. 몇몇 골프장 사이트에서는 XSS 및 파일업로드 취약점도 존재할 것으로 판단된다.

해결 방법은 Statement 객체로 구현된 데이터베이스 연결 방식을 PreparedStatement 객체 형태로 개선하면 된다.

행정자치부는 지난달 한국골프장경영협회와 한국골프연습장협회 등 두 곳을 개인정보보호 자율규제단체로 지정한 바 있다.

하지만 국내 많은 골프장 사이트가 보안에 대한 인식 부족으로 보안사각지대에 놓여있다. 자율 규제와 함께 관계 기관의 국내 골프장 웹사이트 점검도 필요한 상황이다.

★정보보안 대표 미디어 데일리시큐!★