유명 IT수험서 카페와 e러닝 사이트, 보안 취약점 발견

"웹 취약점 제거 및 https 적용 통한 암호화 통신 구현 필요"

국내 유명 출판사 IT수험서 커뮤니티 카페 ‘시XXIT’와 길벗독자를 위한 시나공 e러닝 동영상 강의 ‘e러닝 시XX 이리더’ 사이트에 대해 아이디, 패스워드 평문전송과 심각한 URL 매개변수 취약점이 발견됐다.
 
해당 취약점을 발견하고 데일리시큐에 제보한 모 보안기업 육운수 씨는 “매개변수 취약점은 로그인을 하지 않아도 타인의 글을 수정하거나 삭제할 수 있으며 공지사항에 관리자로 사칭해 파일 업로드가 가능해 악성코드 배포 등 보안위험성이 커 제보하게 됐다”고 밝혔다.

<아이디, 패스워드가 그대로 노출되는 상황>

 
또 “사이트 두 곳 모두 ID와 PW가 암호화가 아닌 평문으로 그대로 노출되고 있어 노출 위험성이 크다”고 설명했다.
 
특히 매개변수 취약점을 악용하면 사용자 이름, 이메일 등이 그대로 노출될 수 있고 비밀번호도 공격자가 임의로 변경할 수 있어 사용자 피해가 예상된다. 또 게시글을 관리자 권한으로 수정이나 삭제도 가능하고 악의적인 파일 업로드도 가능해 사이트 접속자들에게 보안 피해를 줄 수 있어 신속한 보안조치가 필요한 상황이다.
 
제보자는 “취약점 해결방안은 URL의 매개변수 파라미터 값을 임의로 바꿀 수 있는 웹 취약점을 제거하고 https 적용을 통한 암호화 통신 구현, 게시물은 작성자만 수정할 수 있도록 권한 설정이 필요하다”고 권고했다.