국내 자동차부품제조업체 L사 웹사이트에 보호되지 않은 페이지들을 찾아내기 위해 추측되는 링크와 임의의 대입 기법을 통해 접근하는 방식이며 정상적인 인증과정을 거치지 않고 인증 우회방식으로 많이 사용되는 공격기법인 URL Jumping 공격이 통하는 취약점이 발견됐다.

 
해당 취약점을 발견하고 데일리시큐에 제보한 이재광씨는 “URL Jumping 공격에 의해 해당 사이트의 사원정보들이 그대로 노출되는 상황”이라며 “사원들의 개인적인 정보들과 국가기술자격증 증명서 등 다양한 정보들이 유출될 우려가 있어 회사측의 보안조치가 필요하다”고 권고했다. 
 
이러한 취약점이 발생하는 원인에 대해 그는 “사용자 권한 관리가 이루어지지 않은 홈페이지의 관리자 또는 사용자 인증 후 접속되는 페이지의 URL을 주소창에 직접 입력하거나 쿠키를 조작하는 방법”이라며 “공격자는 이러한 인증 우회를 통해 관리자 페이지를 조작, 회원정보 열람 등 민감한 정보를 획득할 수 있으며 잘못된 서버 셋팅으로 인한 불필요한 정보들이 노출될 수 있다”고 설명했다.
 
이 취약점을 해결 하는 방법으로 그는 “URL Jumping을 막는 방법은 모든 경로에 인증 절차를 거치게끔해서 권한이 인가된 사람만 접근가능하도록 하는 것이 중요하다”고 말했다.
 
해당 취약점은 KISA에 통해 조치가 될 수 있도록 할 예정이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com