[금융기관ㆍ대형포털 보안 '무방비'] 1~2분이면 회원정보 '완전노출'
-
기사 스크랩
-
공유
-
댓글
-
클린뷰
-
프린트
국내 굴지의 인터넷 사이트가 해킹에 무방비 상태인 것으로 나타나 인터넷 홈페이지 관리자들의 보안불감증이 위험수위에 다다랐음을 보여주고 있다.
특히 전산 시스템의 핵심인 데이터베이스(DB) 접근 권한이 너무나 손쉽게 노출됐다는 점때문에 보안 전문가들은 입을 다물지 못하고 있다.
보안업계의 한 관계자는 "절대로 있어서는 안될 일이 일어났다"며 "해킹 프로그램이 없어도 PC가 인터넷에 연결돼 있으면 몇 번의 클릭으로 DB접근 권한을 얻을 수 있다는 사실은 충격"이라고 말했다.
◆ 구멍난 보안 시스템
포털사이트 다음의 경우 7개로 구성된 특수문자를 활용할 경우 단 1분만에 3천만명의 회원정보가 담긴 데이터베이스의 보안시스템이 완전히 무력화된다.
보안전문가 A씨는 "물음표(?)를 뜻하는 '%3x.xxp'를 다음의 사이트 주소(my.daum.net) 뒷부분에 입력하면 해커들이 공격할 수 있는 목표물인 디렉토리가 나타난다"고 말했다.
여기에 나타난 디렉토리 가운데 하나를 골라 다음 주소와 '%3x.xxp' 사이에 입력하면 하위 디렉토리가 뜨고 여기서 보이는 'xxxxx.cfg'만 클릭하면 다음 DB의 주소와 ID, 패스워드 등 모든 정보가 한 화면에 드러난다.
A씨는 "이같은 방법으로 다음 DB의 IP는 '211.xx.xxx.2xx'이며 DB이름(SID)은 'DAxxxK', 아이디는 'daxxxk', 패스워드는 'sexxxxxxe―exxxxxr'이라는 것을 찾아낼수 있다"고 설명했다.
그는 "다음 DB에 접근하는 데 걸리는 시간은 1분도 걸리지 않았다"고 말했다.
이 정도면 초보 해커도 얼마든지 접근할 수 있다는게 그의 설명이다.
보안전문가 B씨는 "이 경우 인터넷 자료실에서 누구나 내려받을 수 있는 서버접속 프로그램(SQL게이트)만 있으면 곧바로 DB에 접속해 자료의 위ㆍ변조, 도용 등이 가능하다"며 "개인정보 유출 등의 심각한 문제가 생기게 된다"고 말했다.
수협은 특수문자조차 사용하지 않고서도 해킹할 수 있는 통로가 열려있다.
웹사이트 주소(www.suhyup.co.kr)를 입력한 뒤 'xxxiles'만 추가하면 DB 관련 디렉토리가 나온다.
보안업계 관계자 C씨는 "'xxxiles'라는 문자는 수협 사이트에서 파일을 내려받을 때 보이기 때문에 초보 해커들도 해킹의 단초가 되는 이 단어를 찾는데 2∼3분밖에 걸리지 않을 것"이라고 설명했다.
이런 과정을 거쳐 찾아낸 디렉토리 가운데 'suxxx'과 'xxxxxx.log'를 순서대로 클릭하면 수협 DB의 주소(203.xxx.xxx.x)와 호스트(Pxxxx), 아이디(Axxxx) 등이 노출된다.
C씨는 "IP 주소만 노출되더라도 해킹 공격을 당할 가능성이 매우 높다"고 지적했다.
◆ 취약점 원인과 대책
보안 전문가들은 인터넷 홈페이지 관리자들이 자바(컴퓨터 언어의 일종)기반 웹서비스의 보안성이 취약한데 전혀 대비하지 않았기 때문에 이런 일이 일어나고 있다고 설명했다.
자바 기반 시스템이 안전할 것이라는 통념에 사로잡혀 전산 담당자들이 보안 관리를 소홀히 했다는 것이다.
인터넷 보안프로그램에 특수문자 몇 개만 막는 성의만 보이면 해킹을 막을 수 있음에도 불구하고 방심한 탓에 이같이 구멍이 뚫리고 있다.
인터넷 운영자들이 심각한 보안불감증에 걸려있는 것이다.
A씨는 "대형 인터넷업체나 공공기관들이 자바 기반의 웹시스템을 채택하고 있어 이같은 문제를 안고 있다"며 "정부 차원에서 수만개에 달할 것으로 추정되는 자바 시스템을 사용하는 웹사이트에 대한 보안문제의 취약점을 분석하고 시급히 대책을 마련해야 한다"고 지적했다.
◆ 위기에 처한 인터넷 공화국
한국이 세계 최고 수준의 초고속 인터넷 강국이어서 보안의 취약점은 심각한 문제를 유발할 수 있다.
대형포털사이트의 경우 2천만∼3천만명의 개인정보가 노출될 수 있다.
이렇게 노출된 개인정보는 다양한 경로로 유통될 수 있어 불특정 다수에게 피해를 줄 수 있다.
대부분의 네티즌이 다른 사이트에도 비슷한 아이디와 패스워드를 사용한다는 점을 감안하면 엄청난 피해를 일으킬 수 있다.
특히 금융권 전산망이 공격당하면 거래 내역이 변조되거나 조작될 수도 있어 대형금융사고로 연결될 수도 있다.
김남국 기자 nkkim@hankyung.com