한국세무사회 세무연수원 웹사이트, 디렉터리 리스팅 취약점 발견
세무연수원 회원의 세무사자격증 누구나 열람 가능...현재 조치완료
[보안뉴스 민세아] 세무사들의 권익 보호를 위해 세워진 단체인 한국세무사회가 정작 세무연수생들의 정보는 보호해주지 못하는 것으로 드러났다. 한국세무사회 세무연수원 웹사이트에서 ‘디렉터리 리스팅(Directory Listing)’ 취약점이 발견된 것.
|
디렉터리 리스팅 취약점은 웹 서버의 디렉터리 및 파일 목록이 노출돼 열람 및 다운로드가 가능한 취약점이다. 가장 기본적인 취약점이지만 치명적인 보안위협을 야기할 수 있다.
이번 취약점은 사이버보안전문단원(K-Shield)으로 활약 중인 한 보안전문가와 Morison Herry(닉네임) 씨가 본지에 제보하면서 알려졌다. 이들은 “우연히 한국세무사회 세무연수원 디렉터리 목록이 노출된 것을 확인했다”며 “노출된 디렉터리에서 각종 세무사 자격증과 증명사진, 이메일 등이 발견됐고, 2009년 이전 자격증에 대해서는 주민등록번호가 여과 없이 기재돼 있어 개인정보 유출 위험이 있다”고 덧붙였다.
디렉터리 리스팅은 관리자의 부주의로 발생하는 취약점으로, 잘못된 보안 설정으로 발생한다. 웹 서버 내에 존재하는 백업 및 스크립트 파일이 유출되면 복제 사이트가 생성되거나 계정정보가 유출될 위험도 존재한다. 이로 인해 다양한 정보가 공격자에게 제공됨으로서 2, 3차 피해가 발생할 수 있다.
|
▲ 한국세무사회 세무연수원 웹사이트의 디렉터리 목록이 그대로 노출돼 있다. |
디렉터리 리스팅 취약점의 조치방안으로는 우선 인터넷 망 연결 서비스(IIS : Internet Interconnection Service)의 웹 서버에서 디렉터리 검색 메뉴가 체크돼 있을 경우 이를 해제시켜야 한다.
그리고 아파치 conf 폴더의 httpd.conf 파일 내 Options Indexes FollowSymLinks MultiViews 옵션을 Options FollowSymLinks MultiViews로 수정해야 한다.
추가적으로, 구글에서 검색되지 않도록 www.xxx.co.kr/robots.txt처럼 웹사이트 최상위에 robots.txt를 추가시키고, ‘User-agent:*Disallow:/’와 같은 내용을 기재해야 한다.
개인정보 유출사고가 끊임없이 발생하는 현 상황에서 이런 기본적인 부분부터 세심하게 관리해 사고를 미연에 방지해야 한다. ‘소 잃고 외양간 고치는’ 식의 대응이 아닌 사전예방 조치가 무엇보다 중요하다.
한편 해당 웹사이트의 취약점은 본지가 한국세무사회 측에 전달했으며, 현재는 조치가 완료된 상태다.
'보안제보 ' 카테고리의 다른 글
| 서울고속버스터미널, 악성코드 유포 또? (0) | 2014.05.26 |
|---|---|
| 게임신문·대한화장품협회 홈피 해킹돼 (0) | 2014.05.15 |
| 지역방송 취약점 제보 (0) | 2014.03.06 |