“너무 쉬운 ‘파라미터 변조’…취약한 시스템 매우 많아”
상태바
“너무 쉬운 ‘파라미터 변조’…취약한 시스템 매우 많아”
  • 김선애 기자
  • 승인 2015.03.06 18:41
  • 댓글 0
이 기사를 공유합니다
URL에 직접 인증정보 입력해 아이핀 발급…아이핀 계정으로 고급 개인정보 수집 가능

공공아이핀 부정발급에 사용된 ‘파라미터 변조’ 공격은 매우 초보적인 공격으로 상당히 많은 해킹에 사용되고 있지만, 방어는 까다로운 것으로 알려진다.

황석훈 타이거팀 대표이사는 “파라미터 변조는 해킹이라고 보기도 어려울 만큼 쉽고 간단한 공격기법이지만, 파라미터 변조 공격이 가능한 시스템을 찾아내는 것은 매우 어렵다. 이 공격은 기존 보안 솔루션으로 찾아낼 수 없으며 모의해킹으로 사람이 직접 찾아 조치를 취해야 한다”고 말했다.

보안 시스템 탐지 못해…모의해킹으로 찾아내야
파라미터 변조는 특정 서비스가 일어나는 웹 페이지의 URL을 바꾸는 방법으로 간단하게 진행할 수 있다. 아이핀 발급 시스템의 예를 들어 본다면 1단계 이름·주민등록번호 등 본인확인 정보를 입력하고 2단계 공인인증서로 인증을 완료한 후 인증완료 정보를 3단계 아이핀 발급 단계로 보내게 된다. 1·2단계 인증 단계를 건너뛰고 직접 3단계에 인증완료 정보를 입력하는 방법으로 아이피 부정발급이 진행된 것으로 알려진다.

쉽게 예를 들어 1·2단계에서 인증 사이트 주소가
http://www.aaa.com/index.php?a=1234
이고, 인증완료 후 1234가 5678로 바뀐다면 1234를 직접 5678로 바꿔 아이핀을 발급받을수 있다는 뜻이다.

인증완료 정보를 알아내는 방법을 추정해 본다면, 해커가 미리 입수한 개인정보를 이용해 아이핀을 여러번 발급해보면서 인증완료 정보가 발급되는 로직을 파악할 수 있게 된다. 이를 적용해 인증완료를 수행한 후 아이핀을 발급받을 수 있게 된다.

지난해 드러난 KT 홈페이지 해킹을 통한 개인정보 유출사고도 이 공격을 사용한 것으로 알려진다. 해커는 인증 절차 없이 관리자 사이트로 직접 접속해 개인정보를 유출했다.

황 대표는 “파라미터 변조는 정상적인 인증정보를 입력하기 때문에 보안 시스템이 탐지하지 못한다. 시스템에 취약점이 있는 것도 아니어서 취약점 진단툴로 찾아낼 수 없으며, 소스코드에 취약점이 있는 것도 아니어서 시큐어코딩으로도 해결할 수 없다”고 설명했다.

그는 “이 공격은 비즈니스 로직의 논리적 오류를 이용한 것으로, 자동화된 탐지 기술을 제공하는 보안 시스템이 찾아내지 못한다. 모의해킹을 통해 사람이 직접 찾아낼 수 밖에 없다”고 말했다.

인증정보 무결성 검증 과정 ‘필수’
파라미터 변조 공격은 시스템을 설계하는 단계에서의 문제로, 매우 많은 사이트가 이 공격에 취약한 것으로 알려진다.

예를 들어 웹사이트 게시판에 비밀글을 게시했을 때, 자신이 게시한 글의 웹페이지 주소가
http://www.aaa.com/list.php?a=1234
라면, 1234를 1235로 바꿨을 때 다른 사람이 쓴 비밀글을 볼 수도 있다.

파라미터 변조 공격을 막기 위해서는 클라이언트가 아니라 서버에서 인증이 이뤄질 수 있도록 해야 하며, 인증정보에 대한 무결성 검증 과정이 필요하고, 정상적인 인증정보로 시스템 접근이 이뤄질 때 인증서버에서 해당 인증서가 정상적으로 발급된 것인지 검사하는 무결성 검사 과정이 필요하다.

최근 구축되는 시스템은 이러한 프로세스를 적용하고 있지만, 오래전 구축된 시스템에는 적용되지 않은 경우가 많다. 공격을 당한 공공아이핀 발급 시스템이 그 경우로, 이전에도 부정발급 사고가 있었던 것으로 알려지고 있어 실제 피해가 어느정도 규모일지 확신할 수 없다.

“고급 개인정보 유출 등 추가피해 심각할 것”
정부는 아이핀 부정발급 자체로는 개인의 피해가 없다고 강조하지만 이미 유출된 개인정보를 이용해 아이핀을 부정발급했다면 실제 피해는 상상을 초월할 것이다. 아이핀을 이용하면 공공사이트와 금융사이트, 게임사이트, 인터넷 쇼핑몰 등 여러 인터넷 서비스에 접속할 수 있다.

전자금융결제 시스템은 추가인증이 필요하지만, 개인정보와 금융정보는 열람할 수 있다. 아이핀 부정발급으로 개인정보를 추가수집하면 해커가 수집한 개인정보의 수준이 높아지고, 더욱 정교한 사기나 사이버 공격에 이용할 수 있다.

황 대표는 “아이핀 부정발급으로 인한 피해가 구체적으로 어떻게 나타날지 알 수 없으며, 공격자가 부정발급한 아이핀으로 어떤 공격을 할지도 알지 못한다. 앞으로 더 큰 피해나 공격이 일어날 수 있는 가능성이 있기 때문에 이에 대한 대비책을 만들어야 할 것”이라고 강조했다.

저작권자 © 데이터넷 무단전재 및 재배포 금지
김선애 기자
김선애 기자 다른기사 보기
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.
주요기사