브라우저에서 웹서버로 패킷 전송 전, 데이터가 하드디스크에 평문 저장되고 있어
이번 취약성 이용한다면 대량의 계정탈취와 개인정보 유출 가능한 상황
국내 상당수의 웹사이트에 심각한 보안문제가 확인돼 신속한 보안조치가 필요한 상황이다. 이번 취약점은 청와대 웹사이트를 비롯해 미래창조과학부(이하 미래부), 행정자치부(이하 행자부) 등 상당수 공공기관 웹사이트에서도 발생하는 것으로 확인됐으며 국세청 홈텍스 사이트를 비롯 금융결제를 이용하는 국내 다수의 쇼핑몰 사이트에서도 확인돼 심각한 개인정보 유출로 이어질 수 있는 상황인 것으로 확인됐다.이번 취약성 이용한다면 대량의 계정탈취와 개인정보 유출 가능한 상황
해당 취약성에 대해 조사를 진행한 누리랩(대표 최원혁) 측의 설명에 따르면 “국내 금융결제를 이용하는 대부분 웹사이트는 IE(인터넷 익스플로러)를 이용한다. 해당 웹사이트에 로그인 후 물건을 구매하고 결제를 완료한 후 IE를 종료할 때 종료 버튼을 누른 후 ‘모든 탭 닫기’를 선택한다. 이때 IE는 모든 탭에 대한 정보를 마지막 세션 복원을 위해 시스템 내에 보관하고 있으며 이 정보는 암호화되지 않은 상태로 존재한다”며 “이번에 누리랩에서 자체적으로 조사한 웹사이트들은 사용자의 ID와 패스워드, 신용카드 번호와 결제 암호까지 고스란히 보관하고 있어 심각한 정보유출 사고로 이어질 위험성이 크다”고 경고했다.
◇청와대, 미래부, 행자부, 홈텍스 사이트에서도 취약성 발견돼
데일리시큐는 해당 취약점에 대해 누리랩과 공동으로 대표적인 정부기관 웹사이트에 대한 조사를 진행했다.
우선 청와대 자유게시판에 글을 올리기 위해 개인실명인증이 필요하다. 이때 개인 전화번호 등 개인정보 입력이 필요하다. 확인결과 입력된 개인정보 대부분이 로컬에 평문으로 저장되고 있었다. 물론 게시판 작성시 입력하는 암호도 그대로 저장되고 있는 것으로 확인됐다.
행자부 고객민원란도 확인해 봤다. 개인실명인증을 위해 필요한 개인정보를 입렵후 확인결과 역시 평문 그대로 저장되고 있었다. 마찬가지 미래부 국민신문고란에도 민원인의 개인실명인증에 필요한 개인정보들이 그대로 평문 저장되고 있는 것으로 확인됐다.
최근 악성코드 유포에 따른 감염 PC가 급증하면서 악성 해커에 장악당해 통제를 받는 PC가 상당수 존재한다. 공격자가 이번 취약성을 이용한다면 대량의 계정탈취와 민감한 개인정보, 금융정보 등의 유출이 가능한 상황이다.
◇금융결제 이용하는 다수 인터넷쇼핑몰에서도 취약성 발견
이번에는 누리랩 측에 금융결제를 이용하는 쇼핑몰 사이트에 대한 확인작업에 들어갔다. 다수의 사이트가 사용자의 아이디와 패스워드 정보 뿐만 아니라 신용카드 정보와 결제 암호까지 그대로 평문 보관하고 있는 것으로 확인됐다.
조사에서 확인된 사이트는 국세청 홈텍스 사이트와 대형 인터넷 쇼핑몰 4곳, 유명 랜터카 사이트 1곳이 확인됐다. 이들 사이트는 아이디(ID)와 비밀번호(PASSWORD)는 대부분 노출되고 있었으며 신용카드번호와 결제암호까지 평문 저장된 사이트도 있는 것으로 확인됐다. 물론 전화번호, 이메일, 배송지 등 각종 개인정보도 유출이 가능하다. 이번에 확인된 사이트 이외에도 금융결제를 이용하는 사이트는 신속하게 해당 취약점에 대한 점검을 실시하고 문제가 있을 경우 웹사이트에 대한 보안조치를 진행해야 한다. 모 쇼핑몰 사이트는 이에 대한 보안조치가 잘 이루어지고 있는 것도 확인됐다.
누리랩 관계자는 “금융 결제를 이용하는 대부분의 웹사이트는 https(암호화된 http) 프로토콜을 사용해 IE와 웹서버가 통신을 하기 때문에 패킷을 가로채서는 개인정보들을 볼 수 없다. 하지만 웹개발자가 사용자의 주요 정보를 1차 암호화하지 않고 https로 사용자의 정보를 전송하면 시스템에 주요 정보가 남기 때문에 쉽게 정보를 해커가 취득할 수 있다”고 경고하고 “이번에 취약점이 발견된 웹사이트의 개발자들은 사용자의 주요 정보를 1차 암호화 한 다음 웹서버와 https로 통신을 하도록 수정해야 한다”고 강조했다.
즉 사용자 브라우저와 웹서버 사이에 HTTPS로 패킷을 주고 받을 때는 문제가 없지만 브라우저단에서 웹서버로 패킷을 전송하기 전에 데이터가 하드디스크에 저장된다. 이때 개인정보가 그대로 평문 저장되고 있는 것이다. 이런 경우 악의적 해커가 해당 PC를 장악하고 있을 경우 모든 개인정보가 그대로 유출될 수 있는 상황이다. 상당수 정부 및 공공기관 사이트는 물론이고 일반기업 웹사이트도 이번 취약점에 대한 신속한 점검과 조치가 필요하다. 데일리시큐는 보도 이후 신속한 보안조치가 이루어 지지 않는 대형 쇼핑몰 사이트는 실명을 공개할 예정이다.
★정보보안 대표 미디어 데일리시큐!★
<데일리시큐 길민권 기자> mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지