미래창조과학부가 주관하고 정보통신산업진흥원(NIPA)이 주최하는 소프트웨어 마에스트로 홈페이지(www.swmaestro.kr)가 계정탈취가 가능한 취약점이 존재하는 것이 밝혀졌다.
 
지난 5월 21일, 이 취약점을 발견하고 신속한 조치가 이루어질 것을 바라며 데일리시큐에 제보한 충남대학교 컴퓨터공학과 이한가람(아르고스 소속)씨는 “계정이 탈취되는 경로 계정 찾기를 통해 특정 사용자의 가입시 이메일을 확인한 뒤 비밀번호 초기화를 하면 반드시 비밀번호가 ‘XXXXX’(연속되는 숫자. X로 표기)로 초기화 되어 발생하게 된다”며 이를 통해 계정탈취가 가능한 상황이라 해당 기관의 신속한 조치가 이루어지길 당부했다.
 
해당 취약점이 발생하는 원인은 무엇일까. 이씨는 “우선 임시 비밀번호가 임의 생성이 아닌 고정적인 값인 XXXXX만을 사용하는 것이 가장 큰 문제”라며 “또한 비밀번호 찾기의 경우 계정을 기입해야 진행이 가능해 만약 연속적으로 특정 계정에 대한 비밀번호 찾기 요청이 이루어지나 이름이나 이메일이 서버가 가지고 있는 데이터와 다를 경우 디텍팅이 가능할 것이라고 생각한다. 그러나 ID 찾기의 경우 이름과 이메일이 매치하는 사용자가 DB에 있는지 제한 없이 확인시켜주는 역할을 하고 있다”고 지적했다.

 
따라서 “만약 비밀번호 찾기에서 연속적인 대입을 통한 접근을 시도하는 것을 방지하더라도 이메일 정보를 반드시 확인할 수 있기 때문에 더욱 쉽게 계정을 탈취할 수 있는 역할을 하고 있다”며 “SW Maestro 홈페이지에서는 자체적으로 SW Maestro에 참여하는 멘토와 멘티 등의 이름과 계정을 공개하고 있다. 즉 비밀번호 찾기를 통해 임시 비밀번호를 발급받을 수 있는 조건 중 두 가지 조건을 이미 제공하고 있다. 또 보통 사람들이 계속 사용하는 계정을 다른 사이트에서도 흔히 사용하기 때문에 이름과 계정을 포함해 몇몇 포탈을 조금만 검색하면 해당 멘토 혹은 멘티의 이메일 계정을 쉽게 알 수 있었다”고 설명했다.
 
그렇다면 해당 취약점을 제거하려면 어떤 조치를 취해야 할까. 그는 “임시 비밀번호가 임의 생성되게 바뀌어야 한다”며 “비밀번호 찾기 서비스에서의 무차별 대입이 불가능하도록 감시하고 이러한 접근이 이루어지면 해당 계정의 사용자에게 알려야 한다. 더불어 SW Maestro 홈페이지를 통해 멘티 혹은 멘토 등 사이트 회원에 대한 계정 정보를 노출하지 않아야 한다”고 조언했다.
 
데일리시큐는 이 취약점을 한국인터넷진흥원에 통보하고 신속한 보안조치가 이루어질 수 있도록 할 방침이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com