모 호스팅 업체 회원가입 페이지가 브루트포스 공격에 취약한 것으로 드러났다. 이를 방치할 경우 주민번호 탈취도 가능해 신속한 조치가 필요한 상황이다.
 
해당 취약점을 발견하고 데일리시큐에 제보한 조성준(영덕중) 군은 “다른 사이트들은 대부분 주민번호의 입력횟수가 제한되어 있거나 정부에서 지원하는 siren24 등의 서비스를 이용하는데 이 호스팅 업체는 이러한 서비스를 이용하지 않았고 주민번호 입력 횟수에 제한을 두지 않아서 브루트 포스 공격에 취약하다”고 제보했다.

 
조 군은 “이러한 취약점을 계속 방치해둘 경우, 주민번호가 탈취로 이어질 수 있어 주의해야 한다”며 “siren24 서비스를 이용하거나 입력횟수에 제한을 두면 주민번호가 탈취되는 것을 방지할 수 있을 것”이라고 조언했다.
 
해당 취약점은 11월 2일 이메일로 해당 업체에 통보된 상태이며 악용될 수 있어 업체 명은 무기명으로 처리했다. 한편 조 군은 임의로 만든 프로그램으로 본인 이름과 주민번호를 사용해 테스트했다.
 
데일리시큐는 해당 취약점을 KISA에 전달해 보안조치가 이루어질 수 있도록 할 예정이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com