구글 검색만으로도 관리자 페이지에 누구나 접근이 가능해 관리자 페이지 내부의 민감한 개인정보들이 무방비로 유출될 수 있는 상황에 대한 제보가 계속 데일리시큐를 통해 접수되고 있다.
 
지난 3월 말, 이건희(퍼듀 대학교)씨는 구글 검색을 통해 경기지역 유명 청소년 문화 공간으로 알려진 유스센터 사이트의 관리자 페이지가 구글 검색에서 노출된다는 것을 발견하고 데일리시큐에 제보를 해 왔다.

 
제보자는 “해당 사이트 관리자 페이지가 구글 검색 엔진을 통해 무방비로 노출된다는 것을 발견했다. 관리자 페이지에는 회원들의 아이디, 비밀번호, 이메일, 집전화, 휴대폰번호, 생년월일, 집주소, 주민등록번호 등이 그대로 노출되고 있는 상태였다. 누구나 접근할 수 있는 상황이라 신속한 보안조치가 필요해 데일리시큐에 제보하게 됐다. 조치를 부탁한다”고 밝혔다.
 
대부분 청소년들이 회원인 이 사이트는 유출된 정보를 사회공학적으로 이용해 2차적인 피해로 이어질 수 있어 상당히 위험한 상태다.
 
이건희 씨는 “이 취약점의 원인은 매 페이지마다 관리자 세션 또는 쿠키를 확인하는 구문을 입력하지 않았거나, htaccess를 이용한 관리자 페이지에 관리자 IP 혹은 특정 IP만 접근가능하게 하는 Access Control List를 미설정 했다거나 혹은 루트 디렉토리에 robots.txt를 만들지 않아 검색 접근제어에 실패해 나타난 취약점으로 추정된다”고 설명했다.
 
또 취약점 패치 방안에 대해 “매 페이지에 세션을 검사하는 if(session.getAttribute("idKey") == null) { response.sendRedirect("Login.jsp");를 넣어 비인가자 일 경우 어떠한 페이지를 가더라도 로그인 페이지로 리디렉트시키는 방법이 있고, .htaccess 파일을 생성해 해당 아이피만 관리자 페이지에 접속 할 수 있게 접근권한을 설정 해주는 방법도 있다. 또는 루트 디렉토리에 robots.txt 파일을 생성해 User-agent: *; Disallow: / 등의 내용을 입력해 크롤러 혹은 봇들로 하여금 구글에서 검색이 안되게 하는 방법도 있다”며 신속한 보안조치가 이루어지길 희망했다.
 
데일리시큐는 해당 문제점을 KISA에 전달해 신속한 보안조치가 될 수 있도록 할 예정이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com