지금 시기쯤 되면 회사에서 연말정산 때문에 홈택스 홈페이지에서 연말정산 간소화 서비스를 사용하시는 경우들이 많습니다. 홈택스는 연말정산 뿐만 아니라 다양한 민원증명이나 전자세금계산서를 발급할 수 있도록 국세청에서 만든 사이트이죠. 그런데 최근에 연말정산 간소화 서비스에서 821명의 개인정보가 다른 사람들에게 노출되는 사고가 발생했다고 합니다. 웹 취약점으로 보자면 해당 서비스에서 인증 처리가 미흡했던 것으로 보이는데, 오늘은 이 부분에 대해 간단히 설명드리도록 해보죠.
홈택스를 한 번이라도 이용해보신 분은 로그인 페이지에서 이름과 주민등록번호를 입력하고 공인인증서로 별도의 인증을 거친다는 것을 알고 계시리라 생각합니다. 물론 지금은 공인인증서가 폐지되고, 은행이나 증권에서 사용하는 공동인증서와 네이버, 카카오와 같은 플랫폼에서 개별적으로 만든 민간인증서로 인증을 진행하고 있죠. 사실 간소화 서비스를 위해 민간인증서를 도입했지만, 민간인증서가 들어옴으로써 더 복잡해진 느낌입니다. 인증서들이 더 많아짐으로 인해 발생하는 문제들이 생기지 않을까라고 생각했는데 우려했던 사고가 일어난거죠.
사실 인증서 자체가 문제라기보다는 민간인증서를 통해 처리를 하고, 사용자의 인증을 확인하는 프로세스에서 발생한 문제라고 봐야합니다. 홈택스에서 이전에 사용하던 인증 프로그램이 존재했을테고, 이후 민간인증서 등의 간소화 서비스를 더 개발하고 난 뒤 기존 서비스를 연동할 때 검증 단계가 누락된 것으로 보이는데요. 이름과 주민등록번호만 알면 해당 사용자로 로그인이 되어 연말정산자료 조회가 가능했단 것으로 보아, 특정 민간인증서에서 인증 처리 자체가 누락되었던 것으로 보입니다.
특히 웹 해킹에서 이러한 부분은 인증 처리 미흡 항목과 관련이 있고 실무에서도 굉장히 많이 발생하는 문제입니다. 사실 SQL 인젝션이나 크로스 사이트 스크립트(XSS), 원격 코드 실행(RCE) 취약점의 경우 입력 값을 검증하거나 패턴 탐지를 통해 필터링하는 등 어느 정도 쉽게 대응이 가능합니다. 하지만 인증 처리 부분은 정상적인 기능들을 우회하는 공격이기 때문에, 회원 가입, 연말정산 조회, 증명서 발급 등 모든 절차에서 발생할 수 있는 취약점이죠. 특히 각 서비스를 이용할 때, 서버 단에서 인증을 처리하지 않아서 발생하는 모든 취약점이 인증 처리 미흡과 관련되었다고 보시면 됩니다.
연말정산 간소화 서비스 821명 개인정보 노출... 국세청 재발 방지 다짐
국세청 홈택스 연말정산 간소화 서비스에서 821명의 개인정보가 다른 사람에게 노출되는 사고가 발생했다.
www.boannews.com
이번 사고에서는 홈택스에 네이버와 신한은행의 인증을 추가하는 과정에서 오류가 생겼다고 하는데, 개발 단계에서 인증 처리 기능을 검토하지 않았던 것으로 보이는데요. 대부분 운영중인 시스템에 기능을 추가하면 시큐어코딩이나 모의해킹 등을 통해 한번 더 검증을 하기 마련인데, 시간이 부족했던 것인지 검증 단계에서 해당 부분만 누락이 된 것인지는 모르겠습니다. 하지만 국세청과 같은 공공기관용 사이트에서 이런 사고가 발생했다는 것 자체가 보안에 대해 너무 안일하게 생각하는 것은 아닌지 걱정이 되죠. 개인정보를 처리하는 만큼 좀 더 보안에 대해 신경써주길 바라면서, 오늘은 여기까지 말씀드리도록 하겠습니다. 읽어주셔서 감사합니다.
'Security Essay' 카테고리의 다른 글
| 러시아 우크라이나 사이버 공격 감행 (0) | 2022.02.24 |
|---|---|
| 생명을 위협하는 랜섬웨어, 킬웨어 사례 (0) | 2022.02.05 |
| 통가 화산 폭발 사태로 본 통신망 취약점 (0) | 2022.01.27 |
| 유심을 복사하여 해킹하는 심스와핑 사례 (0) | 2022.01.24 |
| 유출된 카카오톡 계정 로그인 악용 사례 (0) | 2022.01.16 |
댓글