본문 바로가기

벌새::Security

안철수 연구소 웹사이트의 보안 문제

국내 최대의 보안 업체 안철수 연구소 웹사이트의 로그인 문제에 대해 이야기를 해 보도록 하겠습니다.

안철수 연구소 홈페이지 : http://home.ahnlab.com/

[테스트 프로그램]

WebMa 웹브라우저 - 자동 로그인 기능

* 해당 테스트는 비전문가에 의한 테스트이므로 전문적이지 않습니다.

안철수 연구소의 웹사이트 메인에 있는 회원 로그인 화면을 살펴보겠습니다.

사용자 삽입 이미지

자세한 기억은 나지 않지만 초기부터 안철수 연구소의 로그인 창이 자동 로그인 프로그램(알패스)을 이용하지 못하게 만들어져 있었는지는 그 동안 제가 해당 사이트의 회원이 아니였기에 자세히는 모르겠습니다.

단지 회원 가입을 한 후 알패스를 통해 로그인을 시도하였는데 작동하지 못했던 기억이 작년 연말이나 올해 초 경으로 기억합니다.

그러면 국내에서 제작된 멀티탭 브라우저 WebMa(웹마)에서 지원하는 자동 로그인 기능을 통해 해당 사이트에 로그인을 시도해 보겠습니다.

사용자 삽입 이미지

웹마에 입력한 안철수 연구소 웹사이트의 아이디와 비밀번호를 입력 후 옵션에서는 submit 방식(자동으로 프로그램이 아이디와 비밀번호를 웹사이트에 입력하고 enter 효과를 주는 방식)으로 로그인을 시도합니다.

사용자 삽입 이미지

실제 시도를 하면 웹페이지는 Method Not Allowed라는 에러 메시지를 표시합니다. 즉, 허용된 로그인 방식이 아님을 표시하고 있습니다.

아마 보안상 이유로 자동 로그인 방식을 차단하고 있는 것으로 보입니다.

이제 사이트를 다른 방식으로 돌아서 들어가 보겠습니다.

사용자 삽입 이미지

메인 페이지의 상단 또는 다른 페이지 상에서의 상단에 보시면 [로그인] 이라는 메뉴가 있습니다. 해당 로그인 메뉴를 클릭합니다.

사용자 삽입 이미지

또 다른 로그인 화면 창이 존재하는 것을 확인할 수 있습니다. 이제 해당 페이지에서 웹마의 자동 로그인 방식으로 접근해 보겠습니다.

사용자 삽입 이미지

이전의 메인 페이지에서 시도했을 때의 에러 메시지는 볼 수 없으며, 위와 같이 정상적으로 안철수 연구소 웹사이트에 로그인을 성공한 것을 확인할 수 있습니다.

메인 페이지에만 보안을 적용하여 이와 같은 현상이 있는지 아니면 고개의 편의를 위해 이런 개구멍을 만들어 주었는지는 모르겠습니다.

하지만 보안 사이트에서 자동 로그인이 여러모로 회원의 개인 정보에 위해적 요소라고 판단하여 차단을 하였다면 조금 더 세심하게 사이트를 관리해야 하지 않을까 생각됩니다.

물론 테스터인 제가 심층적인 보안에 대한 무지로 인해 무엇을 잘못 알고 이와 같은 글을 작성하고 있는지는 모르겠습니다만 무언가 2% 부족한 것은 확실해 보입니다.
  • 안녕하세요~ 벌새님. 항상 좋은 정보 제공해 주셔서 고맙습니다.

    해당 사항에 대해서 저희 웹 개발자에게 문의를 하였습니다. 위와 같은 상황은 메인 페이지에서 로그인체크 검증(Validation)을 위해서 자바스크립트에서 로그인을 수행하는 반면 로그인 페이지에서는 로그인 체크 검증이 생략되어 있습니다. 즉, WebMa툴에서는 웹페이지의 Form에 들어있는 Action명을 읽어서 submit을 수행하는데, 첫번째 시도에서는 Action명을 정확히 구하지 못해 로그인에 실패한 반면, 두번째 페이지에서는 정확한 Action명을 정확히 구해서 로그인이 성공한 것입니다. 벌새님께서 지적하신대로 동일한 홈페이지에서 다른 형태로 동작하는 것은 문제가 있으니, 신속하게 수정하여 일관성 있게 적용하도록 하겠습니다.

    참고로, 안랩닷컴이나 빛자루 사이트에서는 자동로그인이 적용이 됩니다. 그런데 보안상의 문제로 5회 이상 패스워드가 틀린 경우에 이미지를 이용한 자동로그인 방지 기능이 적용하게 되어 있습니다. 이는 악의적인 사용자가 Dictionary를 이용한 자동로그인 방식으로 임의의 사용자 아이디와 패스워드를 알아내는 것을 방지하기 위한 조치입니다.

    저희 웹사이트에 대해 지적해 주셔서 고맙습니다. 앞으로도 안철수연구소에 언제나 변함없는 애정과 성원 부탁드립니다.

    오늘 하루도 즐겁게 보내시기 바랍니다. 고맙습니다.