국내 유명 영어스피킹 교육 사이트에 SQL인젝션을 이용한 관리자 로그인 및 블라인드 SQL 인젝션을 이용한 DB 추출이 가능하다는 제보가 들어왔다.

해당 사이트의 취약점을 발견하고 상세 리포트를 데일리시큐에 제보한 손진혁(내성중) 군은 “모 영어교육사이트 관리자 로그인 페이지에서 아주 기초적인 SQL인젝션 구문을 사용해 ID 부분에 ' or 1=1—을 적은 뒤 로그인 시도 시 비밀번호와 상관없이 로그인 될 수 있는 상황”이라며 “또한 게시글 번호 뒷 부분에 싱글쿼터를 이용하면 에러 메시지가 뜨는 것을 확인할 수 있는데, 이를 이용해 DB를 추출 해 낼 수 있어 보안 조치가 필요하다”고 밝혔다.

이러한 취약점을 방치할 경우 “해당 사이트를 이용하는 유저들의 DB를 추출해 낼 수 있어, 개인정보가 유출될 수 있고 피싱 등의 2차 피해 위험이 있다. 또 관리자 페이지 로그인이 허용되기 때문에 구매내역, 쿠폰 발급 내역을 조작해 사이트 운영자에 금전적 피해도 발생할 수 있어 위험하다”고 주의를 당부했다.

취약점 패치 방안에 대해 손 군은 “‘와 “를 각각 '와 "로 치환해 처리해야 한다. 그리고 select * from member where id = ? and pw = ?와 같이 정적쿼리를 사용해 개발하면 예방할 수 있을 것”이라고 조언했다.

데일리시큐는 해당 취약점을 KISA에 전달해 신속한 패치가 이루어질 수 있도록 할 예정이다.

데일리시큐 길민권 기자 mkgil@dailysecu.com