웹사이트에서 입력된 정보가 서버로 전송되는 과정이 전부 평문으로 노출되는 취약점이 발생했다. 이 취약점이 발생한 웹사이트는 국내 모 협회 사이트다.
 
이를 데일리시큐에 제보한 MDsoft의 백진성 대표는 “해당 웹사이트에 SSL(Secure Sockets Layer) 인증서가 구축돼 있지 않아 로그인 요청, 회원가입 전 실명인증, 회원가입 정보가 서버로 전송되는 과정이 전부 평문으로 노출되는 것을 확인했다”고 밝혔다.


개인정보를 취급하는 웹사이트는 SSL 인증을 사용해 사이트와 사용자 PC가 주고 받는 정보들을 암호화 통신을 통해 전송할 필요가 있다. 개인정보 보호를 위해 반드시 해야 할 최소한의 조치이지만, 모 협회 웹사이트에서는 이뤄지지 않고 있었던 것이다.
 
이에 따라 회원들의 개인정보는 무방비로 노출되고 있다. 특히 이 협회는 2개의 관련 부문에서 전문가 인증을 위한 자격시험을 실시하고 있는데, 자격시험을 접수하기 위해서는 먼저 협회 홈페이지에 회원 가입을 해야 하기 때문에 이들은 개인정보 노출의 위험성을 그대로 안고 가는 것이다.
 
백진성 대표는 “이러한 취약점을 개선하기 위해서는 SSL 인증서를 구축, 전송되는 정보를 보호해야 한다”고 조언하고, “이는 전송구간에서 해킹 등을 통해 정보가 노출돼도 해독이 어렵도록 암호화해 사전예방 및 추가적 피해를 방지하는 역할을 한다”고 덧붙였다.
 
데일리시큐는 해당 취약점을 KISA에 전달해 신속한 보안조치가 이뤄질 수 있도록 할 예정이다.
 
데일리시큐 호애진 기자 ajho@dailysecu.com