2024-06-24 20:00 (월)
해커가 알려준 취약점 무시하다 큰코다친다
상태바
해커가 알려준 취약점 무시하다 큰코다친다
  • 길민권
  • 승인 2012.01.19 20:15
이 기사를 공유합니다

뒤셀도르프 공항, 해커가 알려준 취약점 무시하다 사이트 폐쇄
기업들, 취약점 알려준 해커에게 감사와 대가지불 문화 형성돼야
해외 취약점 전문가에 따르면, 뒤셀도르프 공항 웹 사이트가 잠재적 심각한 보안홀로 인해 클로즈됐다고 밝혔다. 지난해 4월 취약점을 알려줬음에도 불구하고 공항측이 전혀 신경을 쓰지 않고 있다가 사이트가 문을 닫게된 사건이다. 이런 상황은 한국도 마찬가지라고 할 수 있다.
 
뒤셀도르프 공항 사이트의 보안취약점은 다름아닌 SQL인젝션 취약점으로 드러났다. 이 취약점으로 인해 공격자는 권한없이 데이터베이스에 접근할 수 있는 상황이었다. 해당 데이터에는 승객들의 패스워드와 개인정보들이 저장된 것이라고 한다.
 
또한 직원들의 정보도 포함돼 있고 VIP들에 대한 정보도 저장돼 있었다. 더욱이 신용카드 정보와승객 리스트, 심지어 서버의 루트 패스워드까지도 유출될 수 있는 상황이어서 사이트 차단은 불가피한 것으로 판단되었던 것이다.
 
해당 취약점은 공항사이트의 포토갤러리 저장소와 프레스 영역의 웹 애플리케이션 코드에 있었다. 취약점 연구가는 이 취약점을 지난해 4월에 공항 관계자에 알렸다고 한다. 그럼에도 불구하고 즉각적인 답변이나 취약점 패치를 하겠다는 답을 받지못했다고 밝혔다. 이후 뒤셀도르프 공항측은 지난해 12월 문제의 사이트를 차단하게 된 것이다.  
 
한국도 이와 같은 일이 비일비재하다. 해커들이 기업에 취약점을 알려주면 “어떻게 알게됐냐, 당신이 그걸 어떻게 찾아냈냐, 불법적인 접근 아니냐, 법적으로 고소하겠다” 등등 취약점을 알려준 해커들을 협박하고 해당 취약점에 대해서는 전혀 신경도 쓰지 않는 행태들을 보여온 것이 사실이다.    
 
뒤셀도르프 공항 측도 여전히 해당 취약점을 지난해 4월 처음 알려준 연구가에게 어떤 답변도 하지 않았다고 한다. 물론 취약점 제거를 위해 노력도 하지 않았다. 그래서 결국 12월에 사이트의 심각한 문제점을 인지하고 사이트를 폐쇄하는 지경에까지 이르게 된 것이다.
 
마찬가지로 국내 기업들도 인식을 바꿔 취약점을 알려준 해커들에게 감사하고 그에 합당한 대가를 지불해야 한다. 이런 열린 문화가 형성되어야 국가 전체적인 보안향상을 기대할 수 있을 것이다. [데일리시큐=길민권 기자]  
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★