쿠키조작을 통해 S출판사 자료실 접근이 가능한 보안취약점이 발견됐다. 이 출판사의 회원등급은 총 3단계로 나뉘어지는데 일반인을 위한 일반회원, 학생들을 위한 학생회원 그리고 교사들을 위한 교사회원으로 구분된다. 다른 기능은 동일하게 이용할 수 있지만 자료실은 교사만 접근이 가능하며 교사회원 권한을 가지지 않으면 자료실 접근이 원칙적으로 어렵다. 하지만 쿠키조작을 통한 자료실 접근이 가능한 상황인 것으로 드러나 조치가 필요한 상황이다.  
 
이번 취약점을 발견한 김남준 군(안양부흥고등학교)은 “이 취약점은 지난 11일 발견해 출판사 사이트의 취약성을 알리기 위해 데일리시큐에 제보하게 됐다”며 “S출판사는 사람의 등급을 확인할 때 쿠키 값을 이용해 등급을 확인하며 자료실의 접근을 판단한다. 하지만 이 쿠키 값을 조작한 다음에 자료실에 접근하면 접근이 가능한 상황임을 확인했다. 해당 출판사측의 조치가 필요할 것 같다”고 조언했다.
 
그는 또 이 문제의 대응방안으로 “회원 권한을 쿠키를 통해 확인하는 방법 보다는 세션을 사용하는 것만으로도 이 취약점을 막을 수 있다”고 밝혔다.
 
제보를 해온 김군은 중학교 3학년 겨울방학부터 보안공부를 시작했으며 웹은 고등학교 1학년 여름방학때부터 시작했다고 한다. 보안동아리는 NTMA라는 악성코드 분석팀에서 활동하고 있으며 보안분야에서 꾸준히 공부해 보안전문가가 되고 싶다는 포부를 밝혔다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com