온라인 RPG게임 ‘리그오브레전드’에서 인증우회 취약점이 발견됐다. 이를 악용하면 관리자 사칭이나 다양한 해킹 공격을 시도할 수 있어 주의해야 한다.
 
이번 취약점을 발견하고 해당 업체와 데일리시큐에 제보한 이영훈(전남대학교 컴퓨터정보통신) 씨는 “보호 되지 않은 페이지들을 추측 후 대입 기법을 통해 정상적인 인증 과정을 거지치 않고 인증을 우회하는 취약점”이라며 “이러한 원인은 글쓰기 페이지에 대해 권한을 제대로 검사하지 않았기 때문에 일어난 것”이라고 설명했다.
 
이러한 취약점을 방치하면 어떤 보안위협들이 발생할까. 이 씨는 “보호되지 않은 페이지들을 해커들이 찾아 페이스북과 같은 SNS에서 리그오브레전드 홈페이지로 유도해 관리자로 사칭 후 악의적인 피싱을 할 수 있을 뿐만 아니라, 글쓰기 페이지에서 파일 업로드 기능을 이용해 웹쉘 등 2차 피해로 이어질 수 있어 위험하다”고 밝혔다.
 
그는 또 “보호 되지 않은 페이지에 일반 사용자가 접근을 시도하면 사용자의 권한을 체크하도록 하며, 웹 페이지에 대한 접근 제어 설정을 정확히 구분 해주어야 할 것”이라고 강조했다.
 
이영훈 씨는 취약점 발견시 해당업체에 통보해 취약점을 알린 후 보안패치가 이루어질 수 있도록 도움을 주었다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com