국내 모 유명학원과 문자발송사이트 등에서 인증번호가 회원가입 페이지에서 응답메시지가 그대로 노출되는 취약점이 발견됐다. 신속한 조치가 이루어지지 않으면 금전적 피해가 발생할 수도 있어 조치가 필요한 상황이다.
 
해당 취약점을 발견하고 데일리시큐에 제보한 조성준(영덕중학교) 군은 “웹 프로그래밍을 공부하는 과정에서 인증번호가 응답 메시지로 노출되는 사이트를 우연히 발견하게 되었다. 현재 모 학원과 XX어학원 회원가입 페이지 그리고 문자 발송 사이트 회원가입 페이지에서 인증번호가 응답 메시지로 그대로 노출되고 있다”며 “결제 과정은 확인해보지 않았지만 이러한 인증 방법을 결제 과정에 사용한다면 금전적 피해가 예상된다. 보안조치가 필요하다”고 밝혔다.

 
이러한 취약점 원인은 무엇이고 해결 방안은 또 무엇일까. 조군은 “일단 이 인증 방식은 휴대폰 인증번호를 응답 메시지로 출력해 매치시키기 때문에 발생하는 것으로 보인다. 이는 인증번호를 직접적으로 노출 시키지 않고 변수를 서버 내의 다른 페이지에 전달해 변수로 인증하면 인증번호 노출이 되지 않을 것”이라며 “인증번호를 직접적으로 노출 시키지 않고 변수를 이용해 인증하는 방식을 사용해야 안전할 것”이라고 조언했다.
 
그는 또 보통 웹에서는 응답 메시지라고해서 다음 페이지로 넘어간다. 즉 응답메시지는 다음 페이지에 넘어갈 때 발생하는 내용이다. 이 내용에서 인증번호가 직접적으로 노출이 되는 것“이라며 ”일반인들은 이것을 쉽게 알 수 없으며 파이어폭스의 'httpfox' 라는 부가기능 또는 'Wire Shark' 등 의 패킷 캡처링 툴을 이용하면 이러한 내용들이 캡처되어 나타난다“고 설명했다.
 
한편 이러한 취약점으로 인해 휴대폰 결제를 할 때 서버에서 취약한 인증 방식을 사용해 휴대폰 인증번호가 노출될 경우, 이 인증번호를 가로채 타인의 휴대폰으로 결제를 할 수 있게 된다. 그러면 이 요금은 피해자의 휴대폰 요금으로 청구될 수 있어 금전적인 피해도 생길 수 있어 주의해야 한다.
 
데일리시큐는 해당 취약점을 KISA에 전달하고 신속한 보안조치가 이루어질 수 있도록 할 예정이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com