경기도 소재 H대학교 학사행정시스템과 수강신청시스템 그리고 각 시스템에서 사용되는 데이터베이스 질의 프로그램에 타인의 데이터 및 SQL 질의문이 노출되는 취약점이 발견됐다.
 
해당 취약점을 발견하고 데일리시큐에 제보한 오준석(SmartSeok.NET 소속) 씨는 “모 대학 웹페이지에 접속요청하는 주소에 학번이 포함되어 있으며, 이 학번을 수정해 요청시 그 수정된 학번 본인의 데이터가 표시되는 취약점이 확인됐다. 또 로그인도 요구하지 않아 위험한 상황”이라고 상세 리포트를 보내왔다.

 
그는 또 “또한 취약한 페이지에서는 RDServer라는 액티브를 실행해 데이터베이스에 접근을 하게 되는데 사용자의 컴퓨터에서 SQL 질의가 노출되는 것도 문제”라고 지적했다.
 
이번 취약점 방치시 어떤 보안위협들이 발생할까. 우선, 악의적 공격자가 학번을 수정할 경우 해당 학번 본인의 정보가 조회되어 타인의 개인정보를 침해할 수 있다“며 ”그리고 전송하는 SQL 질의를 변경해 전송되었을 때 그게 만약 그대로 실행이 된다면 학교에서 관리하는 데이터베이스 구조를 파악할 수 있을 것다. 이를 통해 학점이나 출결 등 학사정보 조작이 가능할 수 있을 것“이라고 우려했다.
 
그렇다면 해당 취약점을 보완하려면 어떻게 해야할까. 그는 “먼저, 페이지에 접속할 때 로그인된 사용자를 파악해 그 사용자의 데이터만 쿼리할 수 있도록 패치해야 한다. 또 가급적이면 DB 접근을 위한 계정이나 SQL질의를 절대로 서버 이외의 클라이언트에 제공하지 않도록 해 야 안전할 것”이라고 조언했다.
 
데일리시큐는 해당 취약점을 KISA에 전달해 신속한 보안패치가 이루어질 수 있도록 할 방침이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com