보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

IE에서는 안보이는 '주민번호', 파이어폭스에선 다보여

입력 : 2009-12-18 17:12
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
MS IE 환경만 고려한 개발이 문제...타 브라우저에서 보안 연결 안돼


인터넷 웹 페이지를 보게 해주는 인터넷 웹 브라우저에 대한 호환성 테스트의 부재로 인해, 사이트 DB에 저장된 개인정보가 노출되는 사례가 줄을 잇고 있다.


얼마 전 조선일보의 각종 교육 사업을 총괄하고 있는 조선일보교육미디어의 ‘맛있는 공부’ 홈페이지에서 , 소스코드를 통해 개인정보가 노출되는 취약점이 발견돼 200여건의 회원정보가 노출됐었다. 그리고  이번에는 한 중국어 교육 사이트에서 회원 천여 명 이상의 개인정보가 노출되는 취약점이 발견됐다.

 

▲개인정보가 노출된 중국어 교육 사이트(좌). 소스보기를 하면 암호화된 주민등록번호도 나타난다(우) ⓒ보안뉴스 

인터넷 익스플로러 외에 다른 웹브라우저에서, 이 사이트의 페이지 특정 주소를 입력하면, 회원의 정보를 그대로 볼 수 있다. 심지어 암호화 해놓은 주민등록번호도 소스보기를 통해 볼 수 있어, 맛있는 공부 홈페이지보다 더욱 취약한 모습을 보였다. 현재 이 사이트는 관련 주소를 우회시켜 막아놓은 상태.


이 두 사이트 들이 개인정보를 노출하는 원인은, 이 사이트를 개발할 당시에 MS의 웹 브라우저인 인터넷 익스플로러(MS IE)만 고려해 설계했기 때문으로 파악되고 있다. MS IE에서는 개인정보가 노출되지 않았지만 파이어폭스나 크롬, 오페라와 같은 다른 브라우저에서는 개인정보가 노출되고 있었기 때문.


보안업계의 한 전문가는 “우리나라에서는 대부분 MS IE를 이용하기 때문에 MS IE만 고려해  개발을 진행한 것으로 보이며, 다른 웹 브라우저에서는 정상적으로 작동하는지에 대한 테스트를 소홀히 했던 것 같다”고 이야기한다.


현재 우리나라에서는 MS IE의 사용률이 다른나라에 비해 절대적으로 높다. 한 인터넷 리서치 조사에 따르면 MS IE외 다른 웹브라우저의 사용률은 7% 미만인 것으로 파악되고 있다. 따라서 대부분 웹사이트들은 MS IE외 다른 브라우저는 고려하지 않은 경우가 많다.

그러나 전문가들은 당장은 MS IE외의 다른 브라우저의 사용자가 적어 문제점이 잘 드러나지 않지만, 점차 다른 웹브라우저 사용이 늘고 있어 이런 취약점은 점차 많이 드러날 것으로 예상하고 있다.


한 보안전문가는 “스마트폰이나 맥북 등 MS IE외에 다른 브라우저를 사용하는 환경이 점차 증가하고 있는 상황에서, MS IE만 고려한 개발은 자칫 대문을 열어놓는 꼴이 될 수 있다”면서 “특히 개인정보를 다루고 있는 웹사이트들은 필히 MS IE 외의 환경에서 보안점검을 해봐야할 필요가 있다”고 주장한다.


또 다른 한 전문가는 “파이어폭스나 크롬, 오페라 등 많은 웹브라우저에서 문제가 나타나는데, 유독 MS IE에서만 문제가 없다면 웹표준을 따르지 않아 나타난 문제일 수 있다”면서 “물론 얼마전 출시된 MS IE8의 경우 웹표준을 많이 따르긴 했지만, 사이트 제작 시기가 몇 년 지난 웹사이트들은 IE7이나 심지어 IE6 이하 버전을 통해 개발됐을 수 있어 문제가 나타날 수 있다”고 지적했다.

[오병민 기자(boan4@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 4
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)