국내 20개 포털 사이트, 보안에 구멍 드러나 '충격'

사용자들이 편리하게 로그인할 수 있도록 만들어진 이른바 쿠키(Cookie)로

인증하는 국내 인터넷 포털 사이트 대부분이 보안에 구멍이 뚫린 것으로 밝

혀져 충격을 주고 있다.

31일 경찰청 및 관련업계에 따르면 한미르, 네이버 등 국내 20여개 인터넷

포털사이트(웹메일, 홈페이지 서비스)와 웹메일 솔루션이 해킹기법인 ‘쿠

키스니핑’(Cookie sniffing)에 그대로 노출돼 있는 것으로 확인됐다.

이에 따라 한국정보보호센터(원장 조휘갑)는 이번 주 중 인터넷사이트와 네

티즌을 대상으로 보안권고문을 발표할 예정이다.

‘쿠키스니핑’이란 해커가 개인 PC에서 사용자 정보를 담고 있는 쿠키를

해킹한 후 이를 통해 사용자 권한을 획득해 내는 기술이다. 한 번 로그인

한 사이트의 ID나 비밀번호를 스스로 기억하도록 특정 프로그램 디렉토리

에 저장된 정보(쿠키)를 임의로 빼내가는 것을 말한다.

따라서 인터넷 사이트가 ‘쿠키스니핑’에 노출될 경우 ID, 비밀번호, 주민

등록번호 등과 같은 사용자 정보들이 크래커의 손에 고스란히 넘어갈 수 있

다.

이번 포털 사이트의 보안 허점을 밝혀낸 사람은 컴퓨터 프로그래머이자 프

리랜서인 임대호(26)씨.

임씨는 지난 26일 자신의 홈페이지를 통해 “국내 대표적인 20여개 인터넷

사이트가 웹메일 본문에 자바 스크립트 사용을 제한하지 않거나, 인증을 하

는 사이트와 사용자 홈페이지 주소가 동일하기 때문에 보안 취약점에 노출

돼 있다”고 지적했다.

임씨는 이어 ▲취약점 발생원인 ▲해킹기법 ▲모의실험 ▲쿠키 인증기법을

사용하는 사이트와 일반 네티즌에 대한 보안권고문도 발표했다.

임씨는 홈페이지에 게재된 내용이 개인정보 유출 등에 악용될 수 있다고 보

고 ‘경찰청 사이버테러대응센터’와 협의를 거쳐 홈페이지에서 이 내용을

제거했다.

임씨는 “한국정보보호센터(KISA, http://www.kisa.or.kr)에서 이번 주 쯤

보안권고문을 공식 배포할 계획에 있는 것으로 알고 있다”며 “보안문제

에 노출된 업체는 확인해 본 20여업체 중 한 곳만 제외한 모든 업체였다”

고 밝혔다.

또 “신뢰성을 지키기 위해 KISA에만 비공식적(참고자료)으로 사이트명을

전달했으며, 적극적 공격도구가 되는 소스코드 또한 개인정보 보호에 치명

적인 해악을 끼칠수 있다고 판단돼 KISA 측에만 전달했다”고 밝혔다.

이에 대해 한국정보보호센터 관계자는 “임씨로부터 소스코드와 관련 내용

을 전달받았으며 공격 가능성이 있다고 판단돼 인터넷사이트에 대한 보안권

고문을 작성하고 발표할 방침”이라고 말했다.

◆임대호씨의 보안 권고문

쿠키인증 기법을 사용하는 사이트들에 대한 권고는 다음과 같다.

▲http://www.netscape.com//newsref/std/cookie_spec.html 사이트의 쿠키

스펙을 따른다. 특히 쿠키 저장 때 타인이 임의로 쿠키를 읽어들일 수 없도

록 도메인과 경로 지정에 유의한다.

▲사용자용 홈페이지는 별도의 도메인으로 서비스한다.

▲수신된 웹메일의 본문에 포함된 스크립트 언어 소스를 필터링하거나 무력

화한다.

▲쿠키 저장시 서버측에서 유효성 여부를 확인할 수 있는 대책을 강구한

다. 예를 들어 브라우저에 저장된 쿠키에만 의존하는 쿠키방식보다 서버측

에 일부 정보를 저장해서 상호 대조할 수 있는 세션방식으로 대체한다. 세

션방식도 서버측에 사용자의 IP 등을 함께 저장해서 유효성 여부를 확인하

는 방식을 권한다.

일반네티즌들은 다음과 같은 점을 주의해야 한다.

▲웹메일 서비스 옵션에서 ‘자바스크립트 허용 여부’ 등을 선택할 수 있

다면 허용하지 않는 것으로 설정한다.(드림위즈의 경우 옵션이 지원된다)

▲로그인한 상태로 타인의 홈페이지를 방문하지 않는다.

◆임대호씨가 밝히는 취약점 발생원인

▲홈페이지서비스: 인증을 행하는 사이트와 사용자의 홈페이지 주소가 동일

한 도메인에 속하는 경우(http://www.domain.com이 사이트이고

http://www.home.domain.com/~ID인 경우)

▲웹메일: 웹메일 본문에 자바스크립트 사용을 제한하지 않는 경우

▲사용자에 의해 웹문서의 생성 및 조작이 가능한 범위와 도메인이나 경로

까지 효력이 미치도록 인증시 쿠키를 저장하는 경우

◆임대호씨의 가상실험방법

임씨는 자신이 갖고 있는 네이버의 홈페이지와 오르지오 메일(공격자), 그

리고 동생이 갖고 있는 한미르메일과 네이버메일을 통해 실험에 착수했다.

이를 통해 임씨는 한미르 웹메일 사용자의 인증용 쿠키정보를 얻는 방법,

네이버 웹메일 사용자의 쿠키정보를 얻는 방법 등을 실험했다.