.gif)
사용하고자 하는 웹사이트의 취약점, 간단히 점검할 수 있는 방법
손을 씻고 양치를 하듯, 누구나 따라할 수 있는 사이버 위생
[보안뉴스 문가용 기자] 이번 달 초 미국 피자헛 웹사이트가 침해되는 사건이 있었다. 공격자들은 10월 1일부터 약 28시간 동안 피자헛의 웹사이트에 머물며 그 시간 동안 주문을 한 고객들의 정보를 모아갔다. 결국 총 6만여 명의 지불카드 정보가 새나갔다. 피자헛은 고온으로 익힌 안전한 음식을 제공했는지는 모르겠지만, 웹사이트 위생 관리에 실패해 소중한 정보를 유출시키고 말았다.
[이미지 = iclickart]
최근 자동차 제조에서부터 애플리케이션 개발을 지나 음식점 운영까지, 보안은 ‘안전’과 ‘위생’처럼 필수로 제공해야 할 기본 서비스가 되고 있다. 그러나 기업들이 이를 자발적으로 해내고 있지 못한 것이 현실. 아직 보안에 대한 의식수준이 높지 않아서이기도 하지만, 소비자들이 필요한 목소리를 내고 있지 않기 때문이기도 하다. 평범한 일반 사용자가 피자를 주문하면서 웹사이트의 취약성을 간단히 점검해볼 수 있다면 어떨까? 피자헛은 고객정보를 유출시키기는커녕 피자를 얼마 팔지도 못했을 것이다.
이글루시큐리티의 여동균 팀장은 평소부터 “일반 소비자 모두가 취약점을 점검하고 문제를 제기할 줄 아는 것이 중요하다”고 말해왔다. “간단한 취약점 점검법을 모두가 익힐 수 있다면 1) 공격이 쉬운 취약점이 우리 주변에 산재해 있다는 걸 알 수 있고, 2) 여기서부터 보안 인식이 제고되며, 3) 국가 전체적인 사이버 환경이 보다 튼튼해집니다.” 지금도 간단한 공격으로 중요한 정보들이 유출되고 있는데, 이런 상황을 막으려면 모두의 참여가 필수다. 적어도 내가 사용하려는 웹사이트의 보안 상태를 점검해보는 방법을 여 팀장을 따라 익혀보자.
1. 관리자 페이지
“웹사이트에서 가장 중요한 관리자 페이지가 노출된 경우가 많이 있습니다. 이것 자체로 문제가 되는 건 아니지만, 요즘 로그인 정보 탈취 사건이 많이 일어나는 걸 감안해보면 관리자 페이지에 쉽게 접속할 수 있다는 건 큰 문제로 이어질 수 있는 취약점입니다. 물론 관리자 페이지가 노출되어도 인가된 IP에서만 접근토록 한다거나 2중인증 옵션을 사용하는 등 보완할 수 있는 방법이 있습니다.”
즉, 내가 방문하고 이용하려는 웹사이트의 관리자 페이지가 노출되어 있는 건 아닌지 확인해보는 것이 ‘사이버 위생’의 첫술이라고 볼 수 있다. “인터넷 주소 뒤에 /admin/을 입력해보세요. 의외로 많은 페이지들이 이런 식으로 관리자 페이지를 운영하고 있습니다. 같은 물건을 주문하더라도 이왕이면 /admin 페이지가 없거나 숨겨진 곳이 조금 더 꼼꼼하게 고객 정보를 보호하고 있을 가능성이 높겠죠. 비슷하게는 adm, manager 등이 있습니다.”
2. 가장 심각한 문제, 디폴트 암호
로그인 정보 탈취 문제가 현재 심각한 수준으로 발생하고 있다고 하는데, 이를 부추기는 현상이 있으니 사용자들이 디폴트로 정해진 ID와 비밀번호 혹은 매우 흔한 비밀번호를 그대로 사용하는 경우다. admin/1111 혹은 manager/password 등은 매년 ‘많이 사용되는 ID/비밀번호’에 1, 2위를 다투는 조합이다. 관리자 페이지를 쉽게 찾았는데, 이런 유명 ID/비밀번호로 로그인이 되어버리면 어떨까? 그 사이트에는 가까이도 가지 말아야 한다.
“안전 문제와 직결되어 있어 직접 언급할 수는 없지만 조금만 찾아봐도 이런 홈페이지들을 쉽게 찾을 수 있었습니다. 이런 취약점은 보안을 좀 아는 사람들 사이에서는 너무나 유명한 거라, 해커들도 당연히 잘 알고 있습니다.” 게다가 과거의 대형 정보 유출 사고 등을 통해 많은 로그인 정보가 암시장에서 거래되고 있어 사이버 범죄자들은 얼마든지 로그인 시도를 해볼 수 있다. 이른바 브루트포스(brute force) 공격이다. 로그인 시도 회수에 제한을 두면 간단히 해결되는데, 이런 옵션이 적용되어 있는지 일반 사용자들도 어느 정도 확인해볼 수 있다.
3. 알아서 정보를 알려준다?
인터넷 주소 끝에 아무 글자나 막 입력하면 어떻게 될까? 당연히 원하는 페이지에 들어가지 않는다. 화면에는 오류 메시지만 뜬다. 그런데 간혹 화면 하단에 “서버 명과 버전 정보를 노출시키는 경우”가 있다. “해커들은 자기가 원하는 바를 성취하기 위해 아주 작은 정보라도 다 수집합니다. 그리고 서버 종류와 버전 번호는, 이미 알려진 취약점을 찾아내기 쉽게 해주는 소중한 정보입니다.”
또, /admin을 입력했을 때 관리자 페이지가 나타나는 경우와 비슷하게 인터넷 주소 끝에 /images를 입력하면 서버의 폴더가 나열될 때가 있다. “공격자에게 디렉토리 구조와 저장된 데이터에 대한 힌트를 제공하는 꼴입니다. 의외로 흔한 취약점으로, 일반 사용자가 쉽게 확인해볼 수 있습니다.”
4. 개인정보 처리 방침을 어떻게 표시하고 있나?
“기업들은 이제 개인정보보호법에 따라 고객들의 개인정보를 어떻게 처리하고 있는지를 눈에 확 띄게, 구별해서 표시해야만 합니다. 그래서 일반적으로 글자를 키우거나 색을 달리한다거나 하죠. 누구나 들어와서 자기 정보가 어떤 식으로 취급받고 있는지 쉽게 찾아볼 수 있어야 합니다. 이것을 잘 지키고 있는지 확인하는 것도 해당 기업의 보안 상태를 어느 정도 가늠해볼 수 있는 좋은 방법입니다.”
여동균 팀장은 이를 이렇게 표현한다. “옛말에 어떤 집에 갔을 때 그 가정의 위생 상태를 파악하려면 화장실부터 가보라고 하잖아요. 그거랑 비슷해요. 개인정보보호 항목을 눈에 띄게 표시하라는 쉽고 간단한 정책도 지키지 못한다면, 그 기업은 정보를 보호하는 것에 큰 관심을 갖고 있지 않다고 판단할 수 있습니다.”
“해킹이나 보안은 특수한 전문가들만의 영역이라고 생각하는 사람이 많습니다. 하지만 위에서 제시한 몇 가지 손쉬운 방법들처럼 키보드만 다룰 줄 알아도 해볼 수 있는 취약점 점검 방법들이 있습니다. 손만 씻고 물만 끓여 먹어도 일상적인 전염병이 크게 줄어든다고 하는데, 이렇게 쉬운 몇 가지 점검 방법을 누구나 실천해볼 수 있다면 소비자들을 상대로 하는 기업들의 보안 상태가 더 좋아질 것입니다.”
여동균 팀장은 “4차 산업혁명 시대에 정부나 보안전문 기업, 보안전문가들만으로 안전한 사이버 공간을 보장할 수 없다”며 “대중들에게도 사이버 보안을 위해 해야 할 일이 있다는 걸 인식시켜줘야 할 때”라고 말한다. “이렇게 쉬운 보안 취약성 점검법을 자꾸만 양지로 끌어내서 누구나 주도적으로 내가 가입하고 사용할 웹 서비스를 결정하는 분위기가 형성되기를 바랍니다.”
[국제부 문가용 기자(globoan@boannews.com)]
손을 씻고 양치를 하듯, 누구나 따라할 수 있는 사이버 위생
[보안뉴스 문가용 기자] 이번 달 초 미국 피자헛 웹사이트가 침해되는 사건이 있었다. 공격자들은 10월 1일부터 약 28시간 동안 피자헛의 웹사이트에 머물며 그 시간 동안 주문을 한 고객들의 정보를 모아갔다. 결국 총 6만여 명의 지불카드 정보가 새나갔다. 피자헛은 고온으로 익힌 안전한 음식을 제공했는지는 모르겠지만, 웹사이트 위생 관리에 실패해 소중한 정보를 유출시키고 말았다.
[이미지 = iclickart]
최근 자동차 제조에서부터 애플리케이션 개발을 지나 음식점 운영까지, 보안은 ‘안전’과 ‘위생’처럼 필수로 제공해야 할 기본 서비스가 되고 있다. 그러나 기업들이 이를 자발적으로 해내고 있지 못한 것이 현실. 아직 보안에 대한 의식수준이 높지 않아서이기도 하지만, 소비자들이 필요한 목소리를 내고 있지 않기 때문이기도 하다. 평범한 일반 사용자가 피자를 주문하면서 웹사이트의 취약성을 간단히 점검해볼 수 있다면 어떨까? 피자헛은 고객정보를 유출시키기는커녕 피자를 얼마 팔지도 못했을 것이다.
이글루시큐리티의 여동균 팀장은 평소부터 “일반 소비자 모두가 취약점을 점검하고 문제를 제기할 줄 아는 것이 중요하다”고 말해왔다. “간단한 취약점 점검법을 모두가 익힐 수 있다면 1) 공격이 쉬운 취약점이 우리 주변에 산재해 있다는 걸 알 수 있고, 2) 여기서부터 보안 인식이 제고되며, 3) 국가 전체적인 사이버 환경이 보다 튼튼해집니다.” 지금도 간단한 공격으로 중요한 정보들이 유출되고 있는데, 이런 상황을 막으려면 모두의 참여가 필수다. 적어도 내가 사용하려는 웹사이트의 보안 상태를 점검해보는 방법을 여 팀장을 따라 익혀보자.
1. 관리자 페이지
“웹사이트에서 가장 중요한 관리자 페이지가 노출된 경우가 많이 있습니다. 이것 자체로 문제가 되는 건 아니지만, 요즘 로그인 정보 탈취 사건이 많이 일어나는 걸 감안해보면 관리자 페이지에 쉽게 접속할 수 있다는 건 큰 문제로 이어질 수 있는 취약점입니다. 물론 관리자 페이지가 노출되어도 인가된 IP에서만 접근토록 한다거나 2중인증 옵션을 사용하는 등 보완할 수 있는 방법이 있습니다.”
즉, 내가 방문하고 이용하려는 웹사이트의 관리자 페이지가 노출되어 있는 건 아닌지 확인해보는 것이 ‘사이버 위생’의 첫술이라고 볼 수 있다. “인터넷 주소 뒤에 /admin/을 입력해보세요. 의외로 많은 페이지들이 이런 식으로 관리자 페이지를 운영하고 있습니다. 같은 물건을 주문하더라도 이왕이면 /admin 페이지가 없거나 숨겨진 곳이 조금 더 꼼꼼하게 고객 정보를 보호하고 있을 가능성이 높겠죠. 비슷하게는 adm, manager 등이 있습니다.”
2. 가장 심각한 문제, 디폴트 암호
로그인 정보 탈취 문제가 현재 심각한 수준으로 발생하고 있다고 하는데, 이를 부추기는 현상이 있으니 사용자들이 디폴트로 정해진 ID와 비밀번호 혹은 매우 흔한 비밀번호를 그대로 사용하는 경우다. admin/1111 혹은 manager/password 등은 매년 ‘많이 사용되는 ID/비밀번호’에 1, 2위를 다투는 조합이다. 관리자 페이지를 쉽게 찾았는데, 이런 유명 ID/비밀번호로 로그인이 되어버리면 어떨까? 그 사이트에는 가까이도 가지 말아야 한다.
“안전 문제와 직결되어 있어 직접 언급할 수는 없지만 조금만 찾아봐도 이런 홈페이지들을 쉽게 찾을 수 있었습니다. 이런 취약점은 보안을 좀 아는 사람들 사이에서는 너무나 유명한 거라, 해커들도 당연히 잘 알고 있습니다.” 게다가 과거의 대형 정보 유출 사고 등을 통해 많은 로그인 정보가 암시장에서 거래되고 있어 사이버 범죄자들은 얼마든지 로그인 시도를 해볼 수 있다. 이른바 브루트포스(brute force) 공격이다. 로그인 시도 회수에 제한을 두면 간단히 해결되는데, 이런 옵션이 적용되어 있는지 일반 사용자들도 어느 정도 확인해볼 수 있다.
3. 알아서 정보를 알려준다?
인터넷 주소 끝에 아무 글자나 막 입력하면 어떻게 될까? 당연히 원하는 페이지에 들어가지 않는다. 화면에는 오류 메시지만 뜬다. 그런데 간혹 화면 하단에 “서버 명과 버전 정보를 노출시키는 경우”가 있다. “해커들은 자기가 원하는 바를 성취하기 위해 아주 작은 정보라도 다 수집합니다. 그리고 서버 종류와 버전 번호는, 이미 알려진 취약점을 찾아내기 쉽게 해주는 소중한 정보입니다.”
또, /admin을 입력했을 때 관리자 페이지가 나타나는 경우와 비슷하게 인터넷 주소 끝에 /images를 입력하면 서버의 폴더가 나열될 때가 있다. “공격자에게 디렉토리 구조와 저장된 데이터에 대한 힌트를 제공하는 꼴입니다. 의외로 흔한 취약점으로, 일반 사용자가 쉽게 확인해볼 수 있습니다.”
4. 개인정보 처리 방침을 어떻게 표시하고 있나?
“기업들은 이제 개인정보보호법에 따라 고객들의 개인정보를 어떻게 처리하고 있는지를 눈에 확 띄게, 구별해서 표시해야만 합니다. 그래서 일반적으로 글자를 키우거나 색을 달리한다거나 하죠. 누구나 들어와서 자기 정보가 어떤 식으로 취급받고 있는지 쉽게 찾아볼 수 있어야 합니다. 이것을 잘 지키고 있는지 확인하는 것도 해당 기업의 보안 상태를 어느 정도 가늠해볼 수 있는 좋은 방법입니다.”
여동균 팀장은 이를 이렇게 표현한다. “옛말에 어떤 집에 갔을 때 그 가정의 위생 상태를 파악하려면 화장실부터 가보라고 하잖아요. 그거랑 비슷해요. 개인정보보호 항목을 눈에 띄게 표시하라는 쉽고 간단한 정책도 지키지 못한다면, 그 기업은 정보를 보호하는 것에 큰 관심을 갖고 있지 않다고 판단할 수 있습니다.”
“해킹이나 보안은 특수한 전문가들만의 영역이라고 생각하는 사람이 많습니다. 하지만 위에서 제시한 몇 가지 손쉬운 방법들처럼 키보드만 다룰 줄 알아도 해볼 수 있는 취약점 점검 방법들이 있습니다. 손만 씻고 물만 끓여 먹어도 일상적인 전염병이 크게 줄어든다고 하는데, 이렇게 쉬운 몇 가지 점검 방법을 누구나 실천해볼 수 있다면 소비자들을 상대로 하는 기업들의 보안 상태가 더 좋아질 것입니다.”
여동균 팀장은 “4차 산업혁명 시대에 정부나 보안전문 기업, 보안전문가들만으로 안전한 사이버 공간을 보장할 수 없다”며 “대중들에게도 사이버 보안을 위해 해야 할 일이 있다는 걸 인식시켜줘야 할 때”라고 말한다. “이렇게 쉬운 보안 취약성 점검법을 자꾸만 양지로 끌어내서 누구나 주도적으로 내가 가입하고 사용할 웹 서비스를 결정하는 분위기가 형성되기를 바랍니다.”
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
 TH.jpg)
 TH.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
