골프 인구가 늘어나면서 골프장 회원가입 수도 크게 늘고 있다. 그린피 1만원 할인을 받기 위해 대부분 골퍼들은 자신의 개인정보를 입력하고 회원가입을 하게 된다.
골프장은 회원 개인정보를 활용해 SMS나 이메일 등으로 홍보내용을 전달하고 다양한 마케팅 목적으로 활용하고 있다. 하지만 골퍼들이 골프장에 제공한 개인정보가 제대로 보호받고 있는 것일까.
얼마전 모의해킹 컨설팅 전문기업 타이거팀 황석훈 대표는 모 골프장을 방문하기 위해서 인터넷 회원 가입을 하다 예상치 못한 에러가 발생했고, 이를 통해서 보안문제점을 발견했다고 데일리시큐에 제보해 왔다. 입력과정에서 실수로 입력된 특정 값 때문에 데이터베이스 입력 에러가 발생했고, DBMS의 에러 메시지를 그대로 출력하고 있었다는 것이다.
황 대표의 말에 따르면, 이런 에러는 개발보안프로세스가 도입되고 안착되기 시작한 2010년를 전후로 해서 개발된 시스템부터는 보기가 매우 어려운 에러라고 밝혔다.
이어 그는 “요즘 DBMS는 벤더사에서 디폴트로 에러가 나지 않도록 셋팅되어 출시된다. 물론, 개발자가 개발을 위해서 개발기에서 에러 메시지를 출력하는 경우는 많지만, 운영기에서는 에러를 출력하는 경우가 거의 없다. 아마도 개발자가 개발기와 운영기 구분없이 개발을 했고 그대로 시스템을 납품한 것이 아닐까 추정된다.”라고 설명했다.
중요한 점은 이 에러메시지가 SQL인젝션에 매우 취약하다는 의미였고 이는 곧 모든 데이터베이스가 유출 가능하다는 것을 뜻하는 것이었다.
그는 데이터 유출이 충분히 가능한 위험상황임을 확인하고 즉시 관련 내용을 정리해서 골프장 측에 전달했다. 또 혹시나 하는 마음에 데스크에 직접 연락해 상황을 설명하고 꼭 문제가 해결될 수 있도록 요청했다.
하지만 며칠 뒤, 골프장 사이트를 확인한 결과 개발자가 뭔가를 하기는 했지만 GET방식의 데이터 전송을 POST방식으로 변경한 것 이외에는 아무런 조치가 되어 있지 않았다. 즉 개발자가 왜 저런 문제가 발생하는지 또 어떤 보안위협이 있을 수 있는지 전혀 모르고 있다는 것을 알게 됐다.
그는 이후 국내 몇몇 골프장 웹사이트를 추가로 조사했다. 대부분 구성이나 동작하는 형태가 비슷한 것으로 미루어 한 두 업체의 개발사에서 개발한 것으로 추정할 수 있었고 앞서 언급한 내용과 유사한 취약점이 있는 것으로 확인됐다. 그 외에도 몇 가지 보안 문제들이 발견됐다. 국내 많은 골프장 웹사이트들의 보안 점검이 필요한 대목이다.
황석훈 대표는 “국내 골프장은 많은 기업인들과 공공기관 등 상당수 중요한 개인정보들을 보유하고 있다. 개인정보 유출의 심각성을 인지하고 보안 조치를 해야 한다. 모의해킹이나 컨설팅을 통해 문제점을 파악하고 신속한 보호조치가 필요한 상황이다. 관계 당국의 철저한 점검도 필요해 보인다. 마지막으로 이러한 기사가 악용되지 않기를 바라며 골프장에서도 불편한 오해가 없기를 바란다.”며 골프장 회원가입시 주의와 골프장들의 보안조치 필요성을 강조했다.
★정보보안 대표 미디어 데일리시큐!★