고속버스 예매사이트 코버스, 관리자페이지 노출 등 보안취약점 다수
지난해 추석 연휴기간 코버스 사칭 스미싱 기승...설날에도 주의해야
[보안뉴스 김지언] 설날 연휴를 앞두고 카드사 정보유출 대란으로 전 국민이 공황상태에 빠진 가운데 고속버스 예매사이트 ‘코버스’(www.kobus.co.kr)에서 보안취약점이 발견됐다.
코버스는 전국에 있는 모든 고속버스를 한 곳에서 예매할 수 있는 전국고속버스운송사업조합 홈페이지로, 설 연휴기간 동안 많은 접속자가 몰리는 상황에서 보안취약점으로 인해 해커에게 공격당한다면 큰 피해가 있을 것으로 예상된다.
1월 초, 본지는 설 특송기간 예매를 위해 만들어진 코버스 임시 홈페이지의 주소 끝에 ‘?’와 ‘/’를 입력했더니 서버단에서만 확인 가능한 소스코드를 볼 수 있다는 제보를 받았다.
이에 본지는 코버스 홈페이지 내에서 간단한 취약점 테스트를 진행했고, 그 결과 관리자 페이지가 노출되는 등 다수의 취약점을 발견할 수 있었다.
먼저 서버의 파일 시스템 목록을 그대로 보여주는 디렉토리 리스팅 취약점이 발견됐다. 발견 당시 일부 파일 시스템에 대한 접근권한은 막아 두었지만 여전히 디렉토리 목록을 확인할 수 있었으며 디렉토리내 파일 내용도 확인할 수 있었다.
또한 2008년 이전에 사용한 예약사이트를 삭제하지 않고 그대로 방치해 이전 예약시스템에서 시간/매수변경, 자리변경 등이 가능했다.
이외에도 관리자만 쓸 수 있는 공지사항, 이벤트, 보도사항, 채용안내 게시판의 글쓰기 페이지로 쉽게 접근할 수 있었으며, 구글 검색만으로 관리자 페이지를 찾을 수 있는 등 홈페이지 보안점검이 필요한 상태였다.
특히 관리자 페이지가 노출된 경우 계정에 대한 무차별 대입 공격으로 관리자 권한을 탈취당할 우려도 있다. 또한 로그인 페이지 시스템이 SQL 인젝션 공격에 대한 보안대책을 마련하지 않은 경우, 공격을 통해 계정 없이 관리자 페이지에 로그인할 가능성이 있으므로 매우 위험하다.
이러한 방식으로 해커가 관리자 페이지에 로그인할 경우 예약자들의 예약정보 변경과 개인정보 유출 외에도 스미싱 등 2차 피해 가능성이 있으므로 관리자 페이지의 주소를 어렵게 바꾸고 웹 루트 경로에 robots.txt 파일을 생성해 구글 검색을 차단하는 메타태그를 추가하는 등의 보안조치가 필요하다.
이에 본지는 해당 취약점을 코버스 측에 전달한 상태이며, 코버스 측 전산담당자는 내부회의 후 취약점을 수정할 계획이라고 밝혔다.
이렇듯 국민들이 자주 이용하는 버스·기차·비행기 등 주요 운송수단 예매 사이트가 공격받는다면 관리자 권한으로만 작성할 수 있는 공지사항 게시물 등을 수정/삭제/작성할 수 있는 등 큰 혼란을 야기할 수 있다.
카드사 개인정보 유출로 금융권에 모든 관심이 집중돼 있는 가운데 사이버범죄자들이 이 틈을 노려 다른 주요 사이트를 공격할 가능성도 제기되고 있다. 이에 교통 분야 등 국민들의 실생활과 관련된 웹사이트의 보안실태 점검이 시급할 것으로 보인다.
한편, 2013년 추석 연휴 기간동안에 코버스를 사칭한 스미싱 문자메시지가 기승을 부린 바 있다. 이번 설 연휴 동안에도 이와 유사한 스미싱 문자메시지가 유포될 가능성이 높아 사용자들은 각별히 주의해야 한다.
※기사 내용을 악용하여 관리자 페이지에 불법적인 로그인 시도를 하는 등 상용망에 공격을 시도할 경우 법적 책임을 물을 수 있으니 주의하시기 바랍니다.
http://www.boannews.com/media/view.asp?idx=39549&kind=1