2024-07-20 03:10 (토)
모 서울시 교육감 후보 공식사이트 관리자페이지 노출…위험
상태바
모 서울시 교육감 후보 공식사이트 관리자페이지 노출…위험
  • 길민권
  • 승인 2014.06.03 04:10
이 기사를 공유합니다

관리자 페이지 노출은 해킹 공격 타깃 될 수 있어…신속한 조치 필요
6월 4일 제6회 전국동시지방선거가 실시된다. 특히 접전을 펼치고 있는 분야가 바로 서울시 교육감 자리다. 현재 4명의 후보가 표심 얻기에 사활을 걸고 있다. 이런 가운데 모 후보 공식사이트의 관리자 페이지가 노출되는 취약점이 발견돼 신속한 조치가 필요한 상황이다.
 
해당 취약점을 발견하고 데일리시큐에 제보한 박상현(숭실고) 군은 “모 후보 공식사이트의 관리자 페이지 노출과 더불어 일반적인 아이디와 패스워드 인증방식 개념과 달리 패스워드 인증개념만 사용하고 있어 암호만 알면 관리자로 접근이 가능해 위험하다”며 “악의적 공격자라면 브루트 포스(Brute force, 무작위 대입) 공격을 시도해 별다른 노력 없이 암호를 찾아내 관리자로 접근할 수 있다”고 우려했다.
 
관리자(Admin) 페이지 노출은 국내에 상당수 존재하는데 대부분 페이지들은 암호구성이나 기본적인 시큐어코딩이 되어 있는 것도 아니고, 복잡성에 있어서 특별한 방어 메카니즘이 있는 것도 아니라고 제보자는 말한다.
 
이런 취약점 방치로 인해 민감한 DB정보 등이 유출되는 사고가 발생할 수 있는 것이다. 이런 사이트들은 악의적 해커(Cracker)에게는 이상적인 먹잇감이 될 수밖에 없는 것이다.
 
특히나 투표 결과에 영향을 미칠 수 있는 사이트를 악의적 공격자가 관리자 페이지에 무단 접속해 비방글로 도배를 하거나 허위사실 등 유포가 가능해 각별히 신경을 써야 한다. 또 접속자를 대상으로 악성코드도 유포할 수 있어 위험하다.
 
박군은 “관리자 페이지의 이름이 admin, administration 등 유추하기 쉬운 것은 위험하다. 관리자 페이지를 분리시키고 페이지 이름 또한 유추할 수 없도록 변경해야 한다”며 “해당 후보의 공식사이트 관리자 페이지는 제1인증 요소를 사용하고 있다. 때문에 암호만 사용하는 인증 방법은 매우 위험해 조치가 필요하다. 암호만 사용하는 인증방식은 암호만 있으면 인증에 성공하고 접근이 가능하기 떄문에 블랙 해커들의 이상적인 사냥감이 될 수 밖에 없다. 관리자 페이지에 아이디, 패스워드를 구성하고 외부 IP의 접근을 차단시켜야 한다. 그리고 SQL injection, XSS 취약점 방지를 위한 소스코드 보안관리도 필요하다”고 조언했다.
 
데일리시큐는 해당 취약점을 KISA에 전달해 보안조치가 이루어질 수 있도록 할 예정이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com

<★보안취약점 제보는 언제나 데일리시큐!>
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★