2022-01-28 08:05 (금)
출산박람회 사이트, 40만명 개인정보 유출 위험
상태바
출산박람회 사이트, 40만명 개인정보 유출 위험
  • 길민권
  • 승인 2014.06.23 06:40
이 기사를 공유합니다

파라미터 변조로 손쉽게 사이트 이용자 개인정보 유출 위험성 존재
지난주 일산 킨텍스에서 열린 출산박람회 사이트가 파라미터 변조로 인한 대량 개인정보 유출 위험성이 있는 것으로 드러났다.
 
해당 취약점을 발견하고 데일리시큐에 제보한 유승민씨는 “출산박람회에서 참석하기 위해서 사전등록을 하고 사전등록 수정/확인을 하던 중에 해당 취약점을 발견해 제보하게 됐다”며 “출산박람회는 해마다 인산인해를 이룰 만큼 많은 사람이 참석을 하고 있다. 많은 접속자가 몰리는 사이트임에도 불구하고 아주 손쉬운 파라미터 변조로 개인정보가 노출될 수 있어 담당자의 신속한 보안조치가 필요한 상황”이라고 당부했다.

 
확인결과, 사전등록 수정/확인을 하게 되면 페이지위 URL이 표시되고 ‘list_no’만 조작 하면 수십 만명에 해당하는 사람들의 개인정보 조회가 가능한 상황이다. 대략 40만 명이 넘을 것으로 추정된다.
 
수집 가능한 정보는 이름, 성별, 생년월일, 집전화, 이메일, 휴대폰, 주소 등을 수집할 수 있는 상황이다.
 
제보자는 “악의적인 마음만 먹는다면 아주 손쉬운 자동화 스크립트로 40만 명이 넘는 개인정보를 획득해 불법적으로 사용할 수 있을 것”이라며 “또 사전등록이 마감되었음에도 불구하고, 해당 정보가 전송되는 확인 버튼을 주석처리 해놓음으로써 웹프록시 툴을 이용해 해당 주석처리를 해지하고 얼마든지 사전등록이 가능할 수도 있다”고 설명했다.
 
또 이를 방지하기 위한 방안으로 그는 “사전 등록 확인하는 페이지에 반드시 권한 체크가 적용이 되어야 하고 권한 체크는 반드시 서버 측 스크립트에서 적용해야 한다. 클라이언트 스크립트는 변조가 가능하기 때문에 중요한 권한 체크는 반드시 서브 측 스크립트에서 진행해야 한다”며 “예를 들어 사전 등록할 때 패스워드를 입력하게 끔 하고 확인하는 페이지에서 그 패스워드로 별도의 토큰을 생성해 권한 체크만 해줬어도 이렇게 개인정보가 쉽게 유출될 수 있는 상황은 방지할 수 있었을 것”이라고 빠른 조치를 당부했다.
 
데일리시큐는 해당 취약점을 KISA에 전달해 보안조치가 이루어질 수 있도록 할 예정이다.
 
<★보안취약점 제보는 언제나 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com