2019-12-09 23:10 (월)
[제보] 국내 주요 중공업 기업 사이트 4곳에 정보유출 위험 취약점 발견돼
상태바
[제보] 국내 주요 중공업 기업 사이트 4곳에 정보유출 위험 취약점 발견돼
  • 길민권 기자
  • 승인 2018.01.09 15:43
이 기사를 공유합니다

aaaa-5.jpg
코스닥상장기업으로 국내 주요 중공업 전문기업이 운영하는 4개 사이트에 권한 인증 취약점(파라미터/URL 변조)이 존재하는 것으로 확인됐다. 이번 취약점은 이 회사가 운영하는 4개 홈페이지의 Q&A 게시판에 존재한다.

이번 취약점을 데일리시큐에 제보한 보안전문가 이병관(31)씨는 “해당 기업 4개 사이트에 URL 파라미터 변조 취약점이 존재한다. 웹상에서의 모든 실행경로에 대해 접근제어를 검사하지 않거나 미흡하게 구현한 경우 공격자가 접근 가능한 실행경로를 통해 값을 변조해 정보를 유출하는 취약점으로 해당 취약점은 접근 권한을 제대로 검증하지 않아 일어나는 경우가 대부분”이라고 설명했다.

이어 “예를들어 Q&A게시판에서 게시글 대부분이 비공개 글이라 비밀번호를 모르면 볼 수 없는데도 불구하고 게시물 URL 뒷부분에 mode=check로 되어있는 부분을 mode=edit로 변경하면 실제 타인의 게시물에 대한 수정이 가능해지며 같은 방식으로 비공개 글 열람도 가능하다”며 “타인의 글을 무단으로 지우거나 타인의 글 수정 등을 통해서 XSS나 CSRF 공격 등이 가능하며 공격으로 인한 정보 유출이 발생할 수 있어 주의해야 한다”고 경고했다.

또 대응방안에 대해서는 “모든 파라미터 값에 대해 사용 전 입력 값 검증을 수행하거나 파라미터 값을 암호화해 주소의 노출을 막거나 또는 URL 입력창에서 접근할 URL을 그냥 입력해 접근 했을때 ‘정상적인 접근이 아닙니다’라는 메시지를 출력하며 이전 메뉴로 돌아가도록 시큐어 코딩 등이 필요하다”고 조언했다.

데일리시큐는 해당 취약점을 한국인터넷진흥원에 전달해 조치가 이루어질 수 있도록 할 예정이다.

※데일리시큐는 국내 정보보호 수준 강화를 위해 독자들의 제보를 기다리고 있습니다. 팩트가 확실한 제보는 기사로 게재해 긍정적인 변화가 이루어질 수 있도록 노력하겠습니다.

★정보보안 대표 미디어 데일리시큐!★