728x90
해당 항공사 취약점을 발견하고 상세한 취약점 내용을 데일리시큐에 제보한 김상원(NTSpot 소속) 씨는 “지난 17일 해당 취약점을 발견했다. 로그인 방식이 세션 인증 방식이 아닌 암호화된 쿠키를 이용한 인증방식을 사용하고 있다. 하지만 그 암호화 방식을 쉽게 풀 수 있어 어떠한 아이디로도 로그인이 가능한 상황”이라고 우려했다.
또 그는 “글로벌 버전으로 회원정보 변경시에도 비밀번호를 인증하는 부분과 회원정보페이지에 비밀번호를 GET으로 처리하고 있어 로그파일에 패스워드가 암호화 되지 않은 평문 상태로 저장되고 있는 것으로 보여 걱정이 된다”고 덧붙였다.
이러한 취약점을 방치할 경우 어떤 보안위협들이 발생할 수 있을까. 제보자는 “아이디 길이 제한이 10자리기 때문에 브루트포싱으로 해당 항공사에 가입한 회원들의 개인정보가 유출 될 수 있으며 특정 아이디를 대상으로 일명 신상털이도 가능하다”며 “세션 인증 방식으로 전환하는 것이 안전할 것”이라고 조언했다.
한편 제보자는 16일 취약점을 발견하고 위험성을 느껴 17일 해당 항공사 고객센터를 통해 관련 취약점을 제보했다. 하지만 고객센터 담당자는 전혀 제보 내용을 이해하지도 못할뿐더러 “보안부서 연락처를 알려달라. 직접 설명하겠다”고 했지만 “보안관련 별도의 담당부서는 없다. 알아보고 전달하겠다”고 같은 말만 반복한 것이다. 제보자는 답답한 심정으로 고객센터 담당자와 대화 내용을 제보내용과 함께 데일리시큐에 전달했다.
또 제보자는 “다음날 18일까지 하루종일 계속 제 페이지에서 체크만하고 수정이 이루어지지 않아 주소를 남겼는데도 따로 연락이 오지 않았다. 그래서 답답한 마음에 21일 다시 고객센터로 전화를 했다. 고객센터에서는 현재 담당부서에 내용을 전달했고 내용을 수정중에 있다고만 전했다”며 “몇 번 수정은 있었는데 정작 문제가 있는 쿠키 쪽 수정은 안되고 제가 만들어둔 샘플 페이지에서 접속하는 부분만 수정이 되고 있었다”고 말했다.
이처럼 기업들은 웹사이트에 취약점을 제보하고자 해도 제대로 받아서 신속하게 처리하고 제보자에 대한 감사의 표시를 할 수 있는 시스템이 되어 있지 않은 상황이다. 비단 항공사 뿐만 아니라 우리나라 대부분의 기업들의 현실이다.
728x90
'Security_News > 국내보안소식' 카테고리의 다른 글
내 PC, 68개 클라우드 백신으로 쉽게 점검해 보자 (0) | 2014.04.24 |
---|---|
국내을 대상으로 엄청난 규모 파밍 악성코드 감염 경고 (0) | 2014.04.24 |
앱 하나로 금융 정보 쓸어가는 ‘뉴밴’ 주의 (0) | 2014.04.23 |
구글 검색만으로 관리자 페이지 노출 ‘수두룩’ (0) | 2014.04.23 |
국내 스피어피싱 유형 분석 (0) | 2014.04.23 |