각종 사이버 보안 사고들이 지속적으로 발생하고 있다. 금융기관이나 한수원을 대상으로 한 사이버 테러 성격의 대규모 공격도 자주 발생하고 있지만 일반 사이트를 대상으로 한 사이버 공격들은 더욱 빈번하게 발생하고 있는 현실이다. 이런 상황임에도 불구하고 여전히 구글 검색만으로도 관리자 페이지에 접속이 가능해 회원 개인정보 유출 및 악성코드 감염 피해로 이어질 수 있는 사이트들이 많다는 것이 확인됐다.
 
9일, 데일리시큐는 노은호(22)씨의 제보를 받고 실제로 구글에서 관리자 페이지에 접속이 가능한 사이트들을 조사해 봤다. 간단한 검색어 만으로도 여러 분야 관리자 페이지들이 검색이 되는 상황이었고 모 협회, 쇼핑몰 사이트 뿐만 아니라 방위산업 전시회 사이트, 서울 소개 유명 대학교 사이트 등도 유추 가능한 아이디와 패스워드로 설정이 돼 있어 쉽게 접속이 가능했다. 특히 모 쇼핑몰 사이트는 아이디와 패스워드가 자동 입력된 상태로 무방비로 노출되고 있어 그대로 접속이 가능한 상황이었다. 
 
또 우려되는 점은 숙련된 해커가 아니라도 인터넷 검색을 통해 찾아서 사용할 수 있는 간단한 SQL인젝션 공격 방법만 알고 있다면 관리자 페이지 내부로 접속하는 것은 너무도 쉬운 상황이었다.
 
제보자는 “웹페이지의 로그인 창 등에 SQL 구문을 넣어 악의 적인 행동을 해커가 할 수 없도록 SQL 구문을 필터링 해야 하는데 필터링을 전혀 거치지 않아 구문에 SQL 구문 삽입이 되어 쉽게 관리자 페이지 내부로 로그인이 될 수 있는 상황”이라며 “보안전문가의 도움을 받아 SQL 구문 필터링을 걸어두면 관리자 페이지로의 무단 접근을 막을 수 있을 텐데 여전히 이런 조치들이 간과되고 있다”고 우려했다.
 
◇방위산업 관련 전시회 사이트
기자가 직접 구글 검색을 통해 조사해 본 결과, 지난 11월 25일부터 28일까지 대전무역전시관에서 열린 방위산업 관련 전시회 사이트의 관리자 페이지가 노출되고 있었고 유추 가능한 아이디와 간단한 SQL 구문 삽입으로 패스워드를 우회할 수 있다는 것이 확인됐다. 이 전시회는 육군교육사령부, 국방기술품질원, 대전광역시가 공동주최하는 국내 최대 대규모 방위산업 전시회다. 실제로 악의적 해커가 관리자 페이지에 접속했다면 어떤 보안사고가 발생할 수 있을까. 특히 군 관련 정보를 입수하는데 좋은 자료가 될 수 있을 것이다.
 
◇서울 소재 유명 대학교 사이트
또한 서울 소재 대학인 K대학교, Y대학교, M대학교 등에서 운영하는 하부 사이트는 관리자 페이지가 구글 검색으로 노출되고 있었고 아주 기초적인 아이디와 패스워드로 설정해 두고 있어 악의적 해커라면 바로 접속이 가능한 상황인 것으로 조사됐다. M대학교는 CMS 관리자 페이지가 노출되고 있으며 간단한 SQL 구문 삽입으로 접속이 가능하다.  
 
◇여성 전문 쇼핑몰 사이트
또 여성 전문 D쇼핑몰은 관리자 페이지가 구글에 노출되고 있으며 심지어 아이디와 패스워드가 그대로 입력된 상태로 노출되고 있어 누구나 접근이 가능한 상황이다. 관리자 페이지에는 주민등록번호를 비롯해 주문상태까지 그대로 볼 수 있어 개인정보 유출로도 이어질 수 있는 심각한 상태다.
 
◇관리자 페이지에 대한 접근통제 설정은 기본
KISA에서 배포한 <홈페이지 개발 보안 안내서>를 보면, “홈페이지 개발 과정에서 발생할 수 있는 보안 취약점은 대단히 다양하다. 특히 접근통제는 특정 사용자에게만 웹 콘텐츠나 기능들에 접근할 수 있도록 허가해주는 것으로 일반적으로 관리자 페이지에 대한 접근통제가 필요하다. 관리자 페이지는 웹 서비스의 사용자나 데이터, 콘텐츠를 손쉽게 관리하기 위한 목적으로 다양한 기능과 권한을 갖고 있고 이는 홈페이지의 운영에 매우 중요한 역할을 하고 있으므로 일반사용자는 인증을 통과하지 못하도록 할 뿐 아니라 일반사용자가 관리자 페이지를 볼 수 없도록 해야 한다”고 권고하고 있다.
 
또 “그러나 일반적으로 추측하기 쉬운 URL(ex: /admin, /manager)을 사용하고 있어, 아이디/패스워드에 대한 크랙 또는 접근 허가 정책에 대해 요청하는 부분의 정보를 변경함으로써 접근이 가능한 경우가 많다. 웹 관리자의 권한이 노출될 경우 홈페이지의 변조뿐만 아니라 취약성 정도에 따라서 웹 서버의 권한까지도 노출될 위험성이 존재한다”고 경고하고 있다.
 
더불어 “대부분의 관리자 페이지는 http://www.test.com/admin 등과 같이 쉽게 추측이 가능하다. 또 인증 과정이 존재하더라도 SQL Injection, JavaScript 변조 등의 취약점을 이용해 인증과정을 우회해 웹 관리자 권한을 획득 할 수 있다”고 안내한다.
 
이러한 구글 검색을 통한 관리자 페이지 노출과 접근이 가능한 원인은 이러한 보안권고를 무시한 채 방치하고 있는 관리자 보안의식 결여 때문이다. 
 
KISA 관계자는 “관리자 페이지에 접근 IP를 제한해서 관리자 이외 원격에서 페이지를 볼 수 없도록 하는 것은 기본사항이다. 웹사이트 관리에서 가장 기본적인 보안권고 사안이다. 아무래도 관리자 페이지가 외부에 노출되면 공격에 노출되기 쉽고 SQL인젝션, XSS, 버퍼 오버플로우 등 웹 취약점이 존재할 경우 공격자에게 관리자 권한을 탈취당할 수 있고 개인정보 유출이나 각종 내부정보 유출, 악성코드 유포로 이어질 수 있어 각별히 주의 해야 할 부분”이라고 강조했다.
 
<홈페이지 개발 보안 안내서>는 데일리시큐 자료실이나 KISA 자료실에서 다운로드 가능하다. 자칫 큰 보안사고로 이어질 수 있는 관리자 페이지 노출에 대해 홈페이지 관리자들의 각별한 주의가 요구된다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com