아동수당 신청 ‘복지로’, 소스에 주민번호 노출... 현재 긴급조치
아동수당 신청 첫날인 6월 20일, 공인인증서 로그인 후 소스 보면 13자리 나와
▲복지로에 로그인한 후 소스보기를 하자 주민등록번호가 고스란히 보인다[이미지=보안뉴스]
http://www.boannews.com/media/view.asp?idx=70525
2018년 9월 만 6세미만 아동(0~71개월)에게 월 10만원씩 지급하여 아동의 권리와 복지에 기여하기 위해 도입된 아동수당제도가 실행된다.
아동수당 실행을 위해 6월 20일 부터 홈페이지 "복지로"에서 신청 할 수 있다.
신청 첫 날 보안전문가가 아동수당 신청을 위해 홈페이지 접속 후 소스보기 기능을 습관적으로 확인하게 되었는데 주민등록번호 13자리 모두 노출되어 있었다고 한다.
취약점 진단을 하는 보안 전문가들은 웹 사이트 탐색을 위해 사이트의 소스보기기능을 먼저 이용한다.
소스보기기능은 누구나 열람 가능하며, 공격이 아니기 때문에 습관적으로 내가 이용하는 사이트의 소스보기기능을 이용하게된다.
이 취약점을 발견한 보안전문가 또한 습관적으로 열람하게되었고, 노출되지 말아야할 정보를 보게된 것이다.
공격자들이 이 홈페이지를 타깃으로 정보수집 중 이었다면 2차 공격에 이용될 수 있으며, 다른 공격과 결합하여 개인정보를 탈취할 수 있는 취약점이다.
또한 개인정보보호법에 위배되는 사항이기 때문에 직접적인 영향이 없다하더라도 처리방침에 따라 주요정보를 처리해야 할 것이다.
복지로에서는 현재 소스보기기능을 막아 놓은 상태라고 한다.
일시적으로는 대응이 가능하나, 다른 툴을 이용하여 열람 가능하며 소스코드 상에서 조치하지 않는다면 또 다시 취약점이 발생될 것이다.
따라서 주민등록번호 뒷자리를 소스보기 또는 데이터베이스에서 마스킹(*******)처리를 해야 한다.
아이의 복지를 위해 한 일에 부모의 개인정보가 노출되거나 위험성이 존재해서는 안된다고 생각한다.
'오늘의 뉴스 > IT·보안' 카테고리의 다른 글
| 코인레일 해킹 사건! (0) | 2018.06.19 |
|---|---|
| MS 오피스 익스플로잇, 전년동기대비 4배 증가 (0) | 2018.06.18 |
| 2018년 상반기 보안이슈 (0) | 2018.06.16 |
| 삼성페이 스미싱 문자 조심! 삼성페이는 팝업으로 결제내역 전송! (0) | 2018.06.04 |
| GDPR 안내 메일 보내려다 GDPR 위반 (0) | 2018.06.01 |
댓글