• 02.514.7786
  • ucert@ucert.co.kr
제목 이벤트 사이트로 기업 정보 '줄줄 샌다'
구분 보안공지
내용

이벤트 사이트가 위험하다.

최근 한국전자금융 홈페이지 해킹으로 8000여명의 입사지원자 개인정보가 유출되는 사고가 발생한 것처럼 대다수 기업과 기관이 단기간 운영하는 채용 공고나 경품 프로모션 같은 이벤트 사이트의 보안을 방치하고 있는 것으로 드러났다.

이벤트 사이트의 보안이 취약하면 SQL 인젝션 공격 등으로 DB 정보를 긁어가거나 이벤트 사이트를 경유해 내부 주요 서버 DB까지 침입이 가능, 심각한 사태를 불러올 수도 있다.

또 이벤트 사이트는 아웃소싱 업체에 하청을 주는 경우도 많아 더욱 보안에 취약하다. 영세 하청업체가 보안 지침에 따라 사이트를 개발하긴 어렵기 때문이다.

실제 모의해킹을 주로 담당하는 해커 P씨는 “정상적인 사이트보다 기업들이 단기간 운영하는 이벤트 사이트에서 주로 취약성을 찾는다”며 “이벤트 사이트는 방화벽, 침입방지장비(IPS), 침입탐지장비(IDS) 등 보안 시스템 밖에 두거나 시큐어코딩 없이 급하게 만들어 보안에 취약한 편”이라고 말했다.


[기사전문보기]

유서트 SNS