친애저축은행 웹페이지에 파일 다운로드 취약점이 발견됐다. 이를 통해 악의적인 공격자는 데이터베이스의 아이디와 패스워드를 알아낼 수 있어 개인정보 유출 등 보안사고 발생 위험성이 존재한다. 해당 사이트 관리자의 신속한 조치가 필요하다.

 
해당 취약점을 발견하고 데일리시큐에 익명을 요구한 제보자(28)는 “취약한 URL로 접속을 하면 사이트에 공개된 파일을 다운로드 받을 수 있다. 하지만 악의적인 공격자는 filename 필드에 상위 또는 하위 디렉토리 경로를 입력해 링크로 걸어두지 않은 시스템 파일 등을 빼내 올 수 있는 취약점”이라고 설명했다.
 
또 이러한 취약점을 방치할 경우에 대해 그는“악의적인 해커가 데이터베이스에 접근해야 하는 파일을 유추 한 뒤 다운로드 받아서 소스코드를 분석 하면, 데이터베이스의 접속 아이디와 비밀번호가 들어 있는 파일 또한 가지고 올 수 있는 상황이다. 즉 데이터베이스의 ID와 Password를 가지고 올 수 있어 2차적인 보안사고 발생이 우려된다”고 경고했다.
  
그는 대응방안에 대해 “fileDownload.do 파일에 대해 특정 특수문자 등을 필터링해야 하고 정해두지 않은 파일 외에는 다운로드가 불가능하도록 변경조치 해야 한다”고 조언했다.
 
이런 웹 취약점들이 관리자 입장에서는 사소하게 보일 수 있다. 그 많은 웹사이트 취약점을 어떻게 일일이 찾아내서 패치하느냐는 불만의 목소리도 나올 수 있다. 하지만 악의적 해커들은 그 작은 취약점을 찾아내 공격을 시작한다. 또 악성코드 하나가 침투함으로써 결국 최근의 대량 개인정보 유출 사고들로 이어지는 것이다. 이에 웹 취약점 관리에 대한 기업들의 대책마련이 제대로 이루어져야 한다는 전문가들의 목소리도 높다.
 
데일리시큐는 해당 취약점을 KISA에 전달해 취약점 패치가 이루어질 수 있도록 할 예정이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com