국내 모 평생교육원 사이트에서 인증처리 미흡으로 인해 사용자들의 주민등록번호가 평문형태로 무방비 노출되고 있어 개인정보유출로 이어질 수 있는 상황이다. 신속한 보안조치가 필요하다. 

 
데일리시큐에 익명을 요구한 제보자는 “해당 사이트에서 자격증을 신청하고 난 뒤에 신청내역(발급내역)을 확인하는 과정에서 idx값을 수정하면 다른 사용자들의 조회 페이지에 접근이 가능해 주민번호까지 노출이 되고 있는 것을 확인했다”며 “idx가 1만 이상이기 때문에 적어도 몇 천 명 이상의 개인정보가 노출이 되는 것으로 판단된다”고 제보했다.


그는 또 “1:1상담 페이지도 동일하게 인증처리가 되지 않아 다른 사용자들이 상담한 내역들을 확인이 가능하다. 상담페이지에는 현재 중요정보가 포함되지 않았지만, 사용자들이 개인정보를 입력했을 경우 다른 사용자에 의해 노출될 수 있기 때문에 다른 사용자들 접근을 제한해야 한다”고 밝혔다.
 
이런 취약점이 발생하는 이유는 무엇일까. 제보자는 “2개의 취약점 모두 모든 페이지에 대한 인증처리를 제대로 해주지 않아 발생한 경우이며, 사용자의 세션을 체크해서 접근권한이 부여된 페이지 이외에는 접근되지 않도록 제한해야 한다”며 “특히 주민등록번호는 페이지 내에 평문으로 노출되지 않도록 해야 하며 조회에 불필요한 정보가 판단이 되면 중요정보 대신 간단한 식별정보로 대체해야 한다”고 강조했다.
 
이 정도 취약한 사이트는 반드시 다른 항목들의 취약점들도 많이 발생할 것이라 판단된다. 개인정보를 많이 다루고 있는 만큼 정기적인 보안 점검이 시급하다.
 
데일리시큐는 해당 취약점을 KISA에 전달해 보안조치가 될 수 있도록 할 예정이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com