고객만족센터

인터넷강의업체, 3만4천여 명 개인정보 관리 허술 충격!!

SQL인젝션 취약점으로 간단한 문자 입력만으로도 유출가능

[보안뉴스 오병민] 보안이 허술한 국내 한 인터넷 강의 회사 O업체(가명)의 홈페이지가 특정 사이버공격에 취약해, 가입자 3만4천여 명의 개인정보가 쉽게 노출되는 것으로 알려져 충격을 주고 있다. 이 사이트는 로그인 창에 특정한 문자만 입력해도 가입자 개인정보를 열람하거나 수정할 수 있는 것으로 드러났다.

문제가 되고 있는 O업체의 홈페이지는 로그인창에 특정 문자를 입력하기만 해도 쉽게 관리자 계정에 접근할 수 있다. 이른바 SQL인젝션 공격이다. SQL인젝션 공격은 로그인창이나 게시판에 특정 문자열을 입력했을 때 나타나는 오류를 이용해 해킹하는 방법으로, 홈페이지 개발 당시 이런 문제와 보안을 고려하지 않고 개발했을 때 주로 나타난다.

이 같은 방법으로 관리자 계정에 접근하게 되면, 가입한 회원 정보를 보거나 삭제 수정할 수 있으며 실시간으로 서비스에 접속한 사용자의 ID와 IP등의 정보도 열람할 수 있다. 관리자 계정을 통해 노출될 수 있는 정보는, 이 홈페이지 회원과 강사 등 약 3만4천여 명의 개인정보로, 이름과 아이디, 패스워드 주민등록번호, 주소, 연락처, 핸드폰, 이메일, 학교, 수강신청 내역 등 노출되면 치명적인 것들이다. 게다가 중요한 개인정보에 필수적으로 적용해야하는 암호화도 적용하지 않아 충격을 주고 있다.

보안업계의 한 전문가는 “이 사이트는 기존에 있던 홈페이지를 폐쇄하지 않고 신규 홈페이지를 오픈하면서, 기존 홈페이지의 SQL인젝션 취약점으로 (신규와 동일하게 이용하고 있는) 관리자 페이지로 접근할 수 있는 문제를 가지고 있다”면서 “SQL인젝션 공격은 인터넷 검색만으로 초보자도 할 수 있는 기본적인 해킹 공격이기 때문에 취약점을 가지고 있는 것 자체가 매우 위험하다”고 말했다.

[기사전문보기]