지난주 일산 킨텍스에서 열린 출산박람회 사이트가 파라미터 변조로 인한 대량 개인정보 유출 위험성이 있는 것으로 드러났다.
 
해당 취약점을 발견하고 데일리시큐에 제보한 유승민씨는 “출산박람회에서 참석하기 위해서 사전등록을 하고 사전등록 수정/확인을 하던 중에 해당 취약점을 발견해 제보하게 됐다”며 “출산박람회는 해마다 인산인해를 이룰 만큼 많은 사람이 참석을 하고 있다. 많은 접속자가 몰리는 사이트임에도 불구하고 아주 손쉬운 파라미터 변조로 개인정보가 노출될 수 있어 담당자의 신속한 보안조치가 필요한 상황”이라고 당부했다.

 
확인결과, 사전등록 수정/확인을 하게 되면 페이지위 URL이 표시되고 ‘list_no’만 조작 하면 수십 만명에 해당하는 사람들의 개인정보 조회가 가능한 상황이다. 대략 40만 명이 넘을 것으로 추정된다.
 
수집 가능한 정보는 이름, 성별, 생년월일, 집전화, 이메일, 휴대폰, 주소 등을 수집할 수 있는 상황이다.
 
제보자는 “악의적인 마음만 먹는다면 아주 손쉬운 자동화 스크립트로 40만 명이 넘는 개인정보를 획득해 불법적으로 사용할 수 있을 것”이라며 “또 사전등록이 마감되었음에도 불구하고, 해당 정보가 전송되는 확인 버튼을 주석처리 해놓음으로써 웹프록시 툴을 이용해 해당 주석처리를 해지하고 얼마든지 사전등록이 가능할 수도 있다”고 설명했다.
 
또 이를 방지하기 위한 방안으로 그는 “사전 등록 확인하는 페이지에 반드시 권한 체크가 적용이 되어야 하고 권한 체크는 반드시 서버 측 스크립트에서 적용해야 한다. 클라이언트 스크립트는 변조가 가능하기 때문에 중요한 권한 체크는 반드시 서브 측 스크립트에서 진행해야 한다”며 “예를 들어 사전 등록할 때 패스워드를 입력하게 끔 하고 확인하는 페이지에서 그 패스워드로 별도의 토큰을 생성해 권한 체크만 해줬어도 이렇게 개인정보가 쉽게 유출될 수 있는 상황은 방지할 수 있었을 것”이라고 빠른 조치를 당부했다.
 
데일리시큐는 해당 취약점을 KISA에 전달해 보안조치가 이루어질 수 있도록 할 예정이다.
 
<★보안취약점 제보는 언제나 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com