탱크디스크라는 P2P 사이트에 로그인을 하면 이벤트에 참여하라며 이벤트 웹페이지로 이동되는데 해당 페이지에서 실명인증 체크 및 인증번호 취약점이 발견됐다.
 
해당 취약점을 발견하고 데일리시큐에 제보한 유태민(조선대학교) 씨는 “해당 사이트 이벤트 내용은 30일 무제한 이용권을 3900원에 판매한다고 적혀있으나, 주민번호 앞자리는 생년월일을 아무렇게 입력하고 뒷자리는 뒷 주민번호의 길이인 7자리를 아무렇게나 입력하고 핸드폰 번호를 입력한 뒤, 전송을 누르게 되면 그 번호로 인증번호가 전송된다”고 설명했다.

 
그는 “이 취약점을 이용하면 문자폭탄이라는 프로그램도 제작할 수 있을 것”이라며 “핵심은 인증번호 취득인데 파이어폭스의 웹 분석툴의 일부 부가기능을 사용하면, 인증번호를 보낸 값을 손쉽게 발견할 수 있다. 발견한 값을 인증번호에 입력하고 확인을 누르면 결제가 된다. 웹에 대한 공부를 한 사람이나 웹 분석을 할 줄 안다면 쉽게 인증번호를 취득해 남의 폰에 결제를 시킬 수도 있어 조치가 필요하다”고 제보했다.
 
그는 또 “이 웹페이지의 경우, 또 다른 웹 분석툴로도 쉽게 인증번호가 발견이 된다”며 “대응방안으로는 실명인증을 정확히 하고 체크하며, 인증번호가 쉽게 얻어지지 않게 웹에 대한 보안을 높여야 하고 휴대폰 결제 시스템 중 대표적인 곳을 이용해 사용자들이 결제를 하는 식으로 조치가 이루어져야 할 것”이라고 조언했다.
 
데일리시큐는 해당 취약점을 KISA에 전달하고 보안조치가 이루어질 수 있도록 할 예정이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com