구글에 디렉터리 노출...카드정보 유출 및 악성코드 유입 우려
D제약사가 운영하는 온라인 쇼핑몰의 디렉터리 리스팅 취약점이 발견됐다. 구글링을 통한 특정 검색어를 입력하면 해당 사이트의 디렉터리가 그대로 노출되고 있으며 이 디렉터리에는 30만건 이상의 고객 계좌정보가 보여지는 등 심각한 상황이다.
해당 취약점을 발견하고 데일리시큐에 제보한 모기업 보안담당자 김성진씨는 “우연히 구글을 검색하다가 D사 온라인 쇼핑몰 디렉터리 리스팅 취약점이 발견됐다”며 “해당 디렉터리에는 결제프로그램 디렉터리가 포함돼 있었으며 여기에는 2011년부터 현재까지 해당 사이트에서 온라인 결제를 한 고객들의 정보 즉, 카드회사, 카드번호(네자리 0표시로 완전 노출은 아님), 카드결제시간 등 30만건이 그대로 노출되고 있는 상태였다. 데일리시큐에 제보해 신속한 보안조치가 이루어지길 희망한다”고 밝혔다.
<디렉터리에 존재하는 쇼핑몰 이용 고객들의 금융정보>
김씨는 “빠른 조치가 취해져야 할 것이다. 특히 노출되는 디렉터리에는 실행파일도 존재하고 있어 악의적 공격자가 마음만 먹으면 얼마든지 악성코드 유포도 가능해 조치가 필요하다”며 “서버 관리자가 실수로 구글에 노출되도록 한 것으로 보인다”고 우려했다.
데일리시큐는 해당 취약점을 KISA에 전달해 보안조치가 이루어질 수 있도록 할 예정이다.
*현재 해당 문제점은 위 기사가 게재된 후, KISA와 공조해 취약점 패치가 진행중이다.
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지
