IEQ 인터넷윤리자격 사이트(www.ieq.or.kr)에 심각한 보안취약점이 발견됐다. 이 취약점을 통해 사이트 이용자들의 개인정보 유출 등 다양한 보안문제가 발생할 수 있는 상황이라 해당 사이트 관리자의 신속한 보안조치가 필요하다.(보도 이후 해당 사이트 관리자는 신속한 보안조치로 취약점을 제거했다고 밝힘) 
 
해당 취약점을 발견하고 데일리시큐에 제보한 조정원 보안프로젝트(www.boanproject.com) 연구원은 “자격증 접수 사이트는 사용자의 개인정보가 많이 입력되는 서비스 중의 하나다. 자격 시험을 보는 사람의 사진, 성명, 주민등록번호, 전화번호, 주소 등이 모두 입력이 되며 이후에는 결제서비스까지 이루어지기 때문”이라며 “그리고 자격을 유지하기 위해 등록하는 교육과정/세미나 이수 과정의 증명자료까지 저장하는 공간이 있기 때문에 공격자에게 의해 침해가 발생하면 그만큼 개인정보 노출로 인해 심각한 위협을 초래할 수 있다”고 강조했다.
 
그는 “이번 인터넷 윤리 지도사 자격증 IEQ사이트에서도 개인정보가 조회 과정, 네트워크 전송 과정에서 평문으로 다수 노출되는 위협이 발생하고 있다”며 “이외에도 더 많은 공격 가능성이 존재할 것이라 판단되지만 서버에 입력 값은 전송하지 않는 공격 내에서 검토를 해 본 결과 심각한 상황”이라고 우려했다.
 
조정원 연구원이 조사한 IEQ 사이트의 보안취약점은 아래와 같다.
◇가입정보 페이지내 중요정보 저장

개인정보를 확인할 수 있는 가입정보 HTML 소스내에 개인 주민등록번호의 모든 값들이 평문으로 노출되어 있는 상황이다.
 
이에 대해 그는 “공격자에 의해서 쿠키세션정보 재사용 공격(Replay Attack) 및 계정정보 노출에 의한 공격이 이루어질 경우 2차적으로 개인정보가 모두 노출되는 상황까지 발생할 수 있기 때문에 개발할 시에 클라이언트 스크립트내에 중요한 개인정보가 저장이 되지 않도록 개발이 되어야 한다”며 “불필요한 정보는 웹 페이지에 삭제를 권고하며, 보여주어야 하는 경우에는 서버 스크립트에서 처리하여 “*****” 마스킹 처리가 되어야 한다”고 권고했다.
 
◇중요정보 평문 전송

또한 이 사이트는 개인정보를 확인할 수 있는 가입정보가 서버와 네트워크 통신이 이루어질 때 모든 정보가 평문으로 전송되는 상황이다. 그러면 페이지내에 포함된 개인 주민등록번호 뿐만 아니라 사용자의 번호(member_num) 등 모든 정보들이 악의적 공격자에 의해 탈취당할 수 있다.   
 
조 연구원은 “중요한 정보가 전송이 될 시에는 SSL통신 및 클라이언트 암호화 솔루션을 적용해 개인중요정보가 네트워크 통신상에서 노출이 되지 않도록 해야 한다”고 지적했다.
 
◇인증 처리 미흡

한편 해당 사이트 Q&A 게시물은 상담관리자와 1:1답변을 하는 공간이다. 하지만 자신의 답변을 열람할 시에 게시물 번호만으로 인증이 되며 사용자의 인증 정보를 체크하지 않고 있다. 그래서 게시물 번호를 다른 값으로 조작할 시에 다른 사용자가 상담한 내용을 확인할 수 있는 상황이다.
 
또한 그는 “공격자가 관리자만 접근할 수 있는 버튼에 접근이 가능함으로써 이 게시물 내용에 악의적인 스크립트 사용으로 다른 사용자의 세션정보 획득 및 다른 사용자의 권한 획득 등이 모두 가능할 수 있을 것 같다”고 판단했다. 조연구원은 서버 값에 대한 공격 코드는 보내지 않았으며 가능성만 체크한 후 제보를 한 것이다.
 
그는 마지막으로 “앞서 언급한 3가지에 대한 공격 가능성은 모의해킹 취약점 진단을 해온 경험 사례를 보았을 때, 많이 도출되는 취약점들”이라며 “이외에도 해당 사이트에서는 다른 심각한 공격 항목들이 발생할 것이라 판단이 된다. 특히 수험생들이 많이 몰리는 자격증 사이트에서는 개인정보를 많이 수집하고 있기 때문에 웹 서비스의 소스코드레벨에 대한 보안 강화가 필요하며, 정기적인 취약점 진단이 이루어져야 한다”고 강조했다.
 
더불어 “특히 보안과 관련된 자격증 사이트는 보안 취약점이 발생하였을 경우 사용자들은 자격증에 대한 신뢰를 의심하기 때문에 더욱더 보안에 신경 쓸 이유가 있다”며 ‘IEQ도 인터넷 윤리 지도사이며 보안과목이 포함되어 있다. 관리자의 신속한 조치가 필요하다”고 덧붙였다.

이에 IEQ사이트 관리자는 10일 오후 관련 취약점에 대해 보안조치를 완료했다고 데일리시큐에 전달해 왔다. 조치 내용과 관련 관리자는 "HTML 소스내에 주민번호 및 중요정보가 보이지 않도록 했으며 암호화 함으로서 불필요한 정보의 노출을 차단했다. 그리고 데이터 통신시 불필요한 주민등록번호 정보를 전송하지 않고 필요할 경우 암호화를 통한 통신 처리를  해 개인 중요정보가 네트워크 통신상에서 노출이 되지 않도록 했다. 또 인증 처리를 강화해 인증자 외 접근하지 못하도록 차단 조치를 완료했다"고 밝혔다. 더불어 향후 보안강화에도 더욱 노력하겠다고 덧붙였다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com