전화로 영어교육 받으려다 개인정보 털릴 뻔?

간단한 쿼리 입력으로 회원정보 유출 가능...현재 코드 수정 완료

[보안뉴스 김태형] 6만여명의 회원을 보유하고 있는 전화영어 전문교육 사이트에서 SQL 인젝션 취약점이 발견됐다. 그러나 본지의 취약점 통보로 현재는 코드 수정이 완료된 상태다.

이번 취약점을 발견한 보안전문가 김대현 씨는 “국내 유명 전화영어 전문교육 사이트에서 SQL 인젝션 취약점으로 인해 6만여 건의 개인정보가 유출될 수 있는 위험에 노출되어 있다. 유출 가능한 개인정보는 이름, 전화번호, IP, PW, 생년월일, 주소 등”라고 설명했다.

▲ 전화영어 전문교육 사이트에서 특정 쿼리를 입력하면 회원 개인정보를 볼 수 있는 SQL injection 취약점이 발견됐다.

이어서 그는 “보다 정확하게 말하자면 이 사이트에 회원가입 시 우편번호 검색을 위한 페이지에서 동 이름을 입력하는 페이지에서 특정 쿼리를 입력하면 회원 개인정보를 볼 수 있다. SQL 인젝션을 이용하면 웹 로그가 남지만, Tor browser(익명성 브라우저) 또는 Proxy를 이용할 경우에는 추적이 어려워 누가 정보를 탈취해갔는지 알아내기 어렵다”고 덧붙였다.

또한 이 사이트의 가장 큰 문제로 회원들의 패스워드가 평문으로 저장되어 있다고 그는 지적했다.

보통 사용자가 웹 서비스에 접근할 때 사용자를 인식하기 위해 인증처리를 하는데, 이 때 데이터베이스 질의어(SQL Query)를 이용해 입력된 데이터에 대한 검증을 한다. 또 게시물이나 그 외의 정보를 데이터베이스에 저장해두었다가 사용자가 정보를 요청하면 조건에 맞는 정보를 동적으로 호출해 사용자에게 전달한다.

이와 같은 질의 과정에서 사용자가 악의적인 입력값을 적용해 정상적인 SQL문이 오작동하도록 하는 공격기법이 SQL 인젝션이다. 이를 통해 공격자는 특정 웹사이트에 악성코드 링크를 숨겨놓고 방문자를 감염시키거나 로그인 인증을 우회해 데이터베이스(DB)에 있는 아이디, 패스워드, 주민번호 등의 개인정보를 유출할 수도 있다.

김대현 씨는 “이러한 취약점에 대응하기 위해서는 모든 사용자에 의해 입력받는 변수에 대해 입력문자를 체크하고 허용 범위에 벗어나는 문자열에 대해서는 제한이나 필터링해야 한다. 또 사용 중인 SQL 구문을 변경시킬 수 있는 특수문자를 제ㅎ하고, 데이터베이스 관리자 권한도 제한하는 등의 조치가 필요하다”고 강조했다.

이에 대해 해당 사이트 담당자는 본지와의 통화에서 “최근 가입한 회원정보는 모두 암호화되어 저장되어 있다. 하지만 예전 회원의 경우에는 암호화되어 있지 않다. 현재 SQL 인젝션 취약점에 대해서는 코드 수정을 완료했고 패스워드 암호가 미흡한 부분에 대해서는 점검을 통해 빠른 시간 안에 필요한 보안조치를 완료할 것”이라고 말했다.

[김태형 기자(boan@boannews.com)]

최근 발생한 크라우드 스트라이크의 보안 SW 업데이트 오류 사태처럼 SW 공급망에 보안이슈가 발생할 경우 관련된 각종 시스템 및 IT 인프라 마비가 일어날 수 있다는 게 드러났습니다. 이러한 공급망 보안을 위협하는 가장 큰 요인은 무엇이라고 생각하시나요?
	랜섬웨어, 피싱 등의 사이버 공격
	SW 업데이트 및 SW 교체 과정에서의 오류
	SW 자체에 존재하는 보안 취약점
	시스템 관리자의 운영상 실수 및 관리 미흡
	기타(댓글로)