2020-12-03 03:30 (목)
모 서울시장 후보 사이트 취약점…제보로 패치돼
상태바
모 서울시장 후보 사이트 취약점…제보로 패치돼
  • 길민권
  • 승인 2014.05.29 18:41
이 기사를 공유합니다

박상현 학생 “관리자 페이지 노출 및 SQL인젝션 취약점 주의해야”
6월 4일 실시되는 제6회 전국동시지방선거가 6일 앞으로 다가왔다. 이런 가운데 유력 서울 시장 후보 공식 사이트에 관리자 페이지 노출과 SQL인젝션 취약점이 발견됐다. 이 취약점은 5월 20일 발견돼 KISA에 제보후 데일리시큐에 제보가 올라왔다. 현재 해당 취약점은 KISA의 조치로 패치된 상태다.
 
해당 취약점을 발견하고 KISA와 데일리시큐에 제보한 박상현(숭실고 3학년)군은 “해당사이트 Admin 페이지 이름이 admin, administration 등 유추하기 쉬운 상태로 방치해두었기 때문에 노출되었다”며 “더욱이 기본적인 ID, PW로 구성하고 있었으며 SQL injection을 통해서 접근이 가능했다”고 설명했다.
 
박군은 또 “홈페이지를 제작해주는 웹 에이전시가 관리자 페이지를 숨기지 않은 것은 시큐어코딩 지식이나 경험이 없거나, 있다 해도 보안을 염려하지 않고 제작했기 때문”이라고 주의를 당부했다.
 
이러한 취약점을 방치할 경우에 대해 박군은 “Admin 페이지 노출은  국내 상당수 사이트에서 문제가 되고 있다. 대부분의 페이지들은 암호구성이나 기본적인 시큐어코딩이 되어 있는 것도 아니었고, 뾰족한 방어 메카니즘이 있는 것도 아니었다”며 “그렇기 때문에 민감하고 주요한 DB정보도 쉽게 열람할 수 있고 외부로 유출될 수 있다. 이러한 사이트들은 악의적 블랙 해커(Black Hacker)나 크래커(Cracker)에게 이상적인 사냥감이 될 수밖에 없다”고 주의를 당부했다.
 
특히 “공식사이트에 해당 후보를 악의적으로 비방하거나 잘못된 사진과 동영상을 올려 해당 후보에 대한 공정성을 해칠 수 있어 선거에 악영향을 미칠 수도 있다. 또 악성코드가 포함된 첨부파일, 게시글, 링크 페이지를 작성 및 노출시켜 사이트 접속자에게 피해를 줄 수 있어 주의해야 한다”고 덧붙였다.
 
그는 대응방안에 대해 “관리자 페이지 접근시 외부 IP를 차단해야 하고 관리자 페이지를 분리해야 한다. 또 관리자 페이지의 이름으로 admin, administration 등 유추하기 쉬운 것을 사용하기 보다 유추 할 수 없도록 변경해야 한다”며 또 “관리자 페이지의 ID. PW도 유추 할 수 없도록 변경해야 한다. 그리고 SQL injection, XSS 방지를 위한 소스코드 보안관리도 신경 써야 한다”고 강조했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com