관리자 페이지 주소 대부분 .../admin, 다양한 해킹 공격 시도 빌미 관리자만 알 수 있도록 주소 어렵게, 웹해킹 대비 시큐어코딩도 필요 
 
[보안뉴스 권 준] 손쉽게 설정한 관리자 계정 로그인 페이지로 인해 홈페이지의 보안취약점이 노출되고, 이로 인해 해당 홈페이지가 악성코드 유포지와 개인정보 유출통로로 악용되는 등 해커들의 손쉬운 ‘먹잇감’으로 전락할 가능성이 높다는 지적이 제기되고 있다.




       ▲여러 웹사이트의 관리자 계정 로그인 홈페이지(중요부분 모자이크 처리)
IT 보안 컬럼리스트로 활동하고 있는 이규형 군(안양 평촌고 3)에 따르면 대부분의 홈페이지 운영자들은 관리자 페이지를 ‘www.xxxxxx.com/admin(예시)’으로 설정함으로써 아무나 쉽게 관리자 계정 로그인 페이지를 접속할 수 있다는 것.

물론 보안에 신경을 쓴 홈페이지 관리자들은 계정 로그인 페이지 주소를 /admin이 아닌 다른 주소로 바꿈으로써 해커와 일반 사용자들에게 쉽게 노출되지 않도록 설정하지만 대부분의 홈페이지는 관리자 계정 로그인 페이지 영역에 대해 무방비하다는 얘기다.



                 ▲악성코드 유포지 악용사례(관련 기사 제목) 

 
이와 관련 이규형 군은 “단지 10분 정도의 시간만을 소비하여 관리자 계정 로그인 홈페이지 8군데를 찾을 수 있었다”며, “만약 구글 검색 연산자를 활용한다면 짧은 시간에 더욱 많은 admin 홈페이지를 찾을 수 있을 것”이라고 우려했다.

최근 ‘XXXX홈페이지 악성코드 유포지로 악용’ 등과 비슷한 제목의 기사들을 언론에서 자주 접할 수 있다. 이렇게 ‘악성코드 유포지’로 악용되는 주요 이유 중 하나로 관리자 계정 로그인 페이지가 해커한테 무방비로 노출돼 있기 때문이라는 게 이규형 군의 설명이다.

관리자 계정 로그인 페이지가 너무 쉽게 노출돼 있을 경우 해커가 아이디와 비밀번호 입력창에 SQL 인젝션, XSS 등과 같은 웹 해킹 공격을 시도할 가능성이 높아지고, 만약 성공할 경우 홈페이지의 최고 권한을 얻게 됨으로써 악성코드 유포지로 악용되거나 홈페이지를 조작하는 등의 다양한 피해가 발생할 수 있다. 




        ▲보안대책을 활용한 관리자 로그인 페이지 접근 차단 예시

 

그럼 이러한 홈페이지 관리자 페이지의 취약점을 보완할 수 있는 대책은 무엇일까? 이와 관련 이규형 군은 “관리자 계정 로그인 페이지를 알아내더라도 쉽게 뚫릴 수 있도록 설계하지는 않았을 것”이라고 전제하면서도 “그렇다고 해커에게 관리자 계정 로그인 페이지를 쉽게 노출시켜도 된다는 말은 아니”라고 우려했다. 덧붙여 그는 “해커에게 관리자 계정 로그인 페이지를 쉽게 노출시키지 않도록 하기 위해서는 해당 주소를 /admin과 같은 단순한 것이 아닌 관리자만 알 수 있는 주소로 변경해주는 것이 바람직하다”며, “이와 함께 SQL 인젝션, XSS 등의 웹 해킹 공격에 대비한 시큐어코딩도 이루어져야 한다”고 강조했다. 
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>