구글 검색통해 관리자 페이지 바로 접속...회원정보 그대로 노출돼
미아나 실종자 찾기 가족 사이트 관리자 페이지가 구글 검색을 통해 그대로 노출되고 있다. 회원들의 개인정보가 무방비로 노출되고 있어 이를 악용한 2차 피해가 우려되는 상황이다. 신속한 보안조치가 필요하다.
<구글 검색을 통해 바로 관리자 페이지에 접속이 가능. 회원정보 무방비 노출>
해당 문제점을 발견하고 데일리시큐에 제보한 단용훈(울산동천고등학교) 군은 “구글에 해당 사이트 관리자 페이지가 그대로 노출되고 있다. 아이디와 패스워드 입력 없이도 특정 검색어를 입력하면 관리자 페이지에 바로 접속이 가능하고 회원들의 정보도 그대로 볼 수 있는 상황이다. 관리자 신속한 개선이 요구된다”고 제보했다.
특히 대부분 회원들이 실종자나 미아를 찾고 있는 회원들인 만큼 노출된 정보를 이용한 악의적 사고들이 발생할 수 있어 위험한 상황이다. 또한 관리자 권한으로 바로 접근할 수 있어 공지사항 등 게시물을 통한 악성코드 유포도 가능해 2차적인 피해로 이어질 가능성이 크다.
제보자는 “관리자의 페이지에 접근할 수 있는 특정한 ACL(Access Control List)를 설정하거나, 직접적으로 관리자 페이지를 찾을 수 없도록 루트 폴더에 robot.txt를 만들어 검색엔진이 검색할 수 없도록 우선적으로 조치하는 것이 필요하다”고 권고했다.
데일리시큐는 해당 취약성을 KISA에 전달해 신속한 보안조치가 이루어질 수 있도록 할 예정이다.
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지
