지방경찰청, 병원, 학교 등 웹사이트 어드민페이지 노출 심각주민번호, 차량정보, 의사정보, 계좌정보 등 고급정보 ‘콸콸’
[보안뉴스 김지언] 최근 해킹사고로 인한 보안강화 움직임에도 불구하고 많은 웹사이트의 어드민(ADMIN) 페이지가 제대로 관리되고 있지 않다는 문제가 제기됐다.


이를 제보한 0xsoju팀의 정홍교(안양부흥고, 3년)군은 구글링을 하다 모 지방경찰청, 병원, 학교 등 수많은 웹사이트의 ADMIN 페이지가 노출된 것을 확인하고 심각성을 깨달아 본지에 제보했다고 밝혔다.

정군은 “간단한 구글 검색 상용구만을 이용하여 찾은 ADMIN 페이지 노출 웹사이트만 78개로, 그외 추가적인 상용구를 사용한다면 더 많은 웹사이트에서 ADMIN 페이지가 노출된 것을 확인할 수 있을 것”이라 전했다.

이어 그는 “ADMIN 페이지 노출은 SQL Injection 등의 공격으로 이어질 수 있으며, 이로 인한 홈페이지의 권한 획득까지 가능해 개인정보 유출 등 보다 심각한 문제로 연결될 수 있다”고 지적했다.

덧붙여 그는 “찾은 ADMIN 페이지가 노출된 웹사이트의 개인정보관리 또한 허술한 경우가 많았다”며, “중요기관인 지방경찰청, 병원, 학교 등에서도 주민번호, 차량정보, 의사정보, 계좌정보 등의 고급정보가 발견돼 더욱 심각한 실정”이라고 전했다.
  
정 군은 이를 개선하기 위해서는 SQL injection 방지와 구글검색을 통한 ADMIN 페이지노출 방지가 필요하다고 설명했다.

먼저 그는 SQl injection의 경우 △데이터베이스와 연동하는 스크립트의 모든 파라미터를 점검하여 사용자의 입력 값이 SQL injection을 발생시키지 않도록 수정 △사용자 입력이 SQL injection을 발생시키지 않도록 특수문자(' " / \ ; : Space -- +등)가 포함되어 있는지 검사하여 허용되지 않은 문자열이나 문자가 포함된 경우에는 에러 처리 △SQL 서버의 에러 메시지를 사용자에게 보여주지 않도록 설정 △웹 애플리케이션이 사용하는 데이터베이스 사용자의 권한을 제한하는 등의 방식이 있다고 설명했다.

이어 정군은 구글검색을 통한 ADMIN 페이지 노출을 방지하기 위해서는 검색엔진 배제표준이나 메타태그를 적용해야 한다며 검색엔진 배제표준을 적용하기 위해서는 다음과 같은 내용으로 된 robots.txt 파일을 웹서버의 루트 디렉토리에 저장해야 한다고 전했다.


User-Agent: *
Disallow:/
▲ robots.txt 파일에 들어갈 내용

 
또한, 정군은 메타태그를 적용하기 위해서는 삭제하려는 웹페이지의 소스코드 파일(HTML 파일)에 <META NAME=GOOGLEBOT" CONTENT="NOINDEX, NOFOLLOW">를 포함시켜야 한다고 덧붙였다.

마지막으로 구글의 자동제외 시스템에 접속하여 개인정보가 노출된 웹페이지를 캐쉬에서 삭제 처리해달라고 요청하면 일주일 정도 후 삭제된다고 밝혔다.

한편, 이번 취약점을 발견한 정홍교 군이 소속된 0xsoju팀은 청소년으로 구성된 각종 웹 서비스, 서버 취약점 분석 및 점검 전문팀이다.

[김지언 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>