쿠키값에 타인 ID 평문으로 노출...개인정보 유출 가능성 존재
교육부 인증 학점은행제 원격교육훈련기관인 유명 사이버 교육원 사이트(www.hakxxx.com)에 쿠키변조를 통한 타인의 계정 정보를 탈취할 수 있는 취약점이 발견돼 보안조치가 필요한 상황이다.해당 사이트의 취약점을 발견하고 데일리시큐에 제보한 이태호(대덕대학) 씨는 “해당 사이트 쿠키값에서 userID를 체크하는 부분이 있다. 이 부분에 획득한 ID로 변경해 적용했을 때 해당 사용자의 권한을 얻을 수 있다”며 “사용자의 ID를 흭득하는 방식은 무작위로 대입해 확인하는 방법도 있지만 사용자가 강의내용을 듣는 과정에서 문제를 푸는 게시판이 존재한??. 이 게시판에서는 사용자의 아이디를 부분적으로 노출시키지만 게시판 소스보기를 통한다면 사용자의 ID를 획득할 수 있다”고 제보했다.
또 “취약점 원인은 쿠키값을 살펴보면, 일반 사용자도 이해할 수 있는 평문으로 되어 있기 때문이다. 만약 userID부분을 암호화시켜서 사용한다면 보다 안전한 사이트가 될 것”이라고 조언했다.
쿠키값에 적용되는 userID부분값이 암호화되지 않았기 때문에 강의를 수강하고 있는 사용자들의 개인정보가 악의적 해커에 그대로 노출될 수 있다. 노출될 수 있는 정보는 계좌번호, 주소, 전화번호 등 민감한 개인정보들이기 때문에 신속한 보안조치가 필요하다.
데일리시큐는 해당 취약점을 KISA에 전달해 보안조치가 이루어질 수 있도록 할 예정이다.
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지