[단독] 하나투어, 개인 정보 유출 위험에 15개월간 노출

(서울=뉴스1트래블) 장은진 기자 조용식 기자 = 최근 국세청으로부터 강도 높은 세무 조사를 받은 하나투어의 메인 홈페이지에 개인 정보 유출 위험이 있는 취약점이 1년 3개월 이상 방치됐던 것으로 드러났다.

하나투어는 29일 본지와의 통화에서 “지난 2014년 9월 소스 하나가 누락되어 리플렉티브 (Reflective) XSS에 노출되었었다”며 “29일 오후에 모든 조치가 완료된 상태”라고 밝혔다.

한마디로 15개월 동안 개인 정보 유출 위험에 노출되었다는 이야기다. 본지는 지난주 하나투어 메인 홈페이지가 개인 정보 유출 위험이 있는 보안 취약점에 노출됐다는 제보를 입수했다.

본지에 하나투어 홈페이지가 ‘리플렉티브 XSS’라는 보안 취약점이 있다고 제보한 곳은 바로 경기대 정보보안동아리 C-Lab.

이 관계자는 “이 문제는 지난 2014년 9월에 다른 제보자가 언론사를 통해서 지적한 적이 있었던 사안”이라며 “가장 기본적인 취약점을 1년 이상 방치한 것은 대기업으로써 고객에 대한 신뢰에 문제가 있다”고 지적했다.

악성코드 유포...개인 컴퓨터 공인인증서 유출, 몸캠 피해, 금융피해까지

하나투어 사이트에서 발견된 취약점에 노출될 경우 하나투어 URL이 들어간 주소로 악성코드 유포로 인해 △ 개인 컴퓨터의 저장된 문서나 공인인증서 유출 △ 몸캠 피해 △ 파밍사이트로 인한 금융피해 등이 발생할 수 있다.

파밍사이트(가짜 하나투어 홈페이지)란 하나투어의 URL를 삽입해 진짜와 가짜의 구별이 어려운 사용자에게 사이트 이용을 유도해 금융정보를 노리는 악성 코드에 노출될 수 있다. 하나투어의 경우 상거래사이트로 홈페이지 내에 결제기능이 포함돼 있어 더욱 각별한 주의가 필요하다.

이 취약점의 경우 국제 웹 보안 표준기구 OWASP에서 2007년, 2010년, 2013년 3번에 걸쳐 지적했을 정도로 웹 보안상의 고질적인 문제점이다. 또한, 국내에서도 지난 2011년 행정안전부(당시)에서 발표한 ‘홈페이지 SW개발보안 가이드’ 주요 보안취약점 유형의 하나로 분류되어 있다.

보안 취약에 노출된 하나투어, ‘정보보호 산업의 날’ 공로상 수상...의문투성이

그런데도 하나투어는 지난 9일 미래창조과학부에서 주최한 ‘2015 정보보호 산업의 날’ 행사에서 '정보 보호실천에 앞장섰다'는 점을 들어 여행사 중 유일하게 공로상을 받았다.

공로상에 대한 심사기준에 관해 미래창조과학부 관계자는 “심사위원이 외부 전문가인 관계로 자세한 심사기준을 알 수는 없다”고 말했다. 15개월 동안 주요 보안 취약점을 노출한 하나투어가 어떻게 정보 보호실천에 앞장서 공로상을 받았는지는 여전히 의문으로 남는다.

C-Lab의 관계자는 “하나투어의 XSS 취약점이 발견된 곳은 메인 검색창이다. 메인 검색창은 모든 사용자를 겨냥할 수 있어 문제가 될 수 있다”며 “보통 이 취약점은 크롬이나 IE에서 자동 차단되는 것에 반에 하나투어의 경우 크롬이나 IE에서도 이 문제점이 그대로 확인되었다”며 직접 시연을 보이기도 했다. (본보 동영상 참조)

이에 대해 하나투어는 본지와의 통화에서 “홈페이지 관련 보안 문제가 발생할 때마다 사안에 따라 신속하게 대응하고 있다”며 "이번 XSS에 대해서는 뉴스1트래블을 통해 알게 된 후 외부 보안업체에 의뢰를 통해 29일 오후에 조처를 했다"고 말했다.

보안업체 관계자는 "XSS는 기업체의 관리자 모드를 직접 공격하는 형태가 아니긴 하지만 개인 정보 유출 위험이 도사리고 있기 때문에 기업으로서는 기본적으로 해결해야 할 문제"라고 말했다.

yscho@