2020-07-14 10:20 (화)
지불대행사 관리자 계정…구글검색에 버젓이 노출!
상태바
지불대행사 관리자 계정…구글검색에 버젓이 노출!
  • 길민권
  • 승인 2012.09.25 14:38
이 기사를 공유합니다

국내 빅4 지불대행서비스 상점관리자 계정 구글에 노출…2차 피해 우려!
온라인 상거래가 일반화된 시점에서 구글 검색만으로 데이콤, KCP, KSPAY, 이니시스 등 국내 빅4 지불대행 서비스(Payment Gateway)업체의 상점 관리자 계정정보가 노출 된 것이 발견되었다. 노출된 계정정보는 관리자 인증 절차없이 구글에 검색된 URL만 클릭하면 누구나 ID와 암호 정보를 볼 수 있어 문제가 심각하다.
 
지불대행 서비스는 물품을 판매하는 업체에서 은행 또는 신용카드사와의 직접 계약하는 형식이 아닌 중간 대행업체를 통해 계좌이체와 신용카드 결제, 에스크로 결제 등의 서비스를 중계해주는 시스템을 말한다.

 
구글에서 특정 검색어를 입력하면 관련 사이트가 공개되고 해당 URL을 클릭하면 국내 빅4 지불대행서비스 상점관리자로 로그인이 가능한 136개의 상점 관리자 ID와 암호가 노출되는 것을 확인할 수 있다. 만약 악의적 공격자에 의해 상점관리자 권한이 탈취된다면 심각한 문제를 야기할 수 있어 신속한 조치가 필요하다.  


<구글검색으로 지불대행서비스 상점관리자 ID/PW가 그대로 노출되는 장면>
 
이번 문제점을 발견하고 데일리시큐에 제보한 UN Security Team 관계자는 “이러한 문제점을 발견하게된 경위는 지불대행사의 결제 카드 전표의 제출력 기능을 이용해 타인의 카드사용내역 조회가 가능한 취약점을 연구하는 과정에서 발견되었다”고 밝히고 관계사의 적절한 조치를 요구했다.
 
팀 관계자는 “노출된 상점관리 ID로 로그인 한 공격자는 해당 상점을 통해 거래된 전체거래 내역을 조회할 수 있을 뿐만 아니라, 타인의 거래 번호 및 승인번호와 일부 카드정보를 확인할 수 있을 것”이라며 “이러한 관리자 권한을 탈취함으로써 공격자는 최근 기승을 부리고 있는 금융 피싱사기에 이 정보를 활용할 수도 있고 이외에도 정산대금을 공격자의 계좌번호로 변조하는 등 직접 정보를 조작해 부당 이익을 얻거나, 전자지갑을 불법으로 사용할 수도 있을 것”이라고 경고했다.
 
이러한 문제는 왜 발생하는 것일까. 제보자는 “이 문제는 홈페이지 개발 업체나 호스팅 업체에서 지불대행사와의 결제정보 연동 등의 작업 도중 빈번하게 발생할 수 있어 주의가 필요하다. 홈페이지 개발 시 개발자나 운영자의 윤리적 교육이 뒷받침 되어야 하며 금융당국은 지불대행서비스 개발 업체에 대한 보안성 검증 등 별도의 조치방안 마련이 필요할 것”이라고 조언했다.
 
제보를 해 온, UN Security Team은 올해 방송통신위원회에서 주관한 제4회 사이버공격 시나리오 공모전에서 “디지털 사이니지 키오스크와 CCTV 취약점을 악용한 신규 공격기법과 대응 방안”이란 연구주제로 최우수상을 수상한 팀이다.
 
이외에도 금융기관의 개인정보 활용실태에 대한 연구주제로 “금융권 개인정보 활용 실태와 개인정보보호법 시행에 따른 IT컴플라이언스 준수 방안 연구” 등의 자료를 발표하는 등 일반 정보보호 연구그룹이 소홀히 하는 분야에 대한 연구를 주제로 잡고 있다. 또 SCADA, BIO-IT 등에 대한 연구되 진행하는 등 일반 보안연구회가 관심을 잘 가지지 않은 분야에 대한 연구가 주요 대상이라고 한다.
  
데일리시큐 길민권 기자 mkgil@dailysecu.com