부산지역 유명 대학교 사이트 묻고 답하기 게시판에서 SQL인젝션 취약점이 발견됐다. 개인정보 유출 및 자신의 성적도 바꿀 수 있어 위험한 상황이다. 보안조치가 필요하다.
 
해당 대학교의 취약점을 발견하고 데일리시큐에 제보한 강동훈 씨는 “해당 사이트의 묻고 답하기 게시판에서 싱글쿼터로 검색할 경우 SQL에 대한 취약점 발견할 수 있다”며 “또 글쓰기를 할 때 기본적으로 script를 검증하지만 우회가 가능해 결국 XSS와 CSRF에 취약한 것으로 볼 수 있다”고 제보했다.
 
이러한 취약점이 대학 사이트에 존재할 경우 상당히 위험하다. 강 씨는 “SQL인젝션 취약점의 경우 타 대학교에서 여러 차례 발생한 적이 있다. 학생과 교직원들의 개인 정보를 모두 볼 수 있는 것은 물론이고 자신의 성적도 바꿀 수 있다. 또 DB를 직접 타깃으로 하기 때문에 방치한다면 큰 문제가 된다”고 밝히고 “XSS와 CSRF의 경우도 유저들의 세션을 가로채는 세션 하이재킹에 이용될 수 있다. 대형 포털이나 이용자가 많은 여러 사이트에서도 여전히 발견되고 있는 취약점으로 파장력 큰 공격이란 점에서 신속한 보안조치가 필요하다”고 강조했다.
 
데일리시큐는 해당 학교 취약점을 교육부 서트 측에 전달해 보안조치가 이루어질 수 있도록 할 예정이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com