2013/08   article search result : 1

[뉴스원문] http://www.boannews.com/media/view.asp?idx=36744&kind=1&search=title&find=%C8%AB%C1%BE%B1%D9




본인이 제보한 취약점이 기사화 되어 보안뉴스에서 보도하였습니다.


뿌듯하네요 ^ㅡ^ 


Paros 를 이용하여, 가격부분 파라미터를 조작하면, 결제가 성공되어버리는 취약점을 분석하여 이비시스에 전달하였습니다.


아래는 기사내용입니다. 



 

PG사에서 카드사로 연결되는 페이지 ‘Paros’ 이용해 데이터 변조

본지, 결제대행 서비스 업체에 통보...가맹점 측에 전달돼 수정     


[보안뉴스 김태형] 시외버스 인터넷예매 사이트의 결제 시스템에서 ‘Paros’를 이용해 데이터를 변조할 수 있는 취약점이 발견됐다. 본지는 이 사실을  결제대행 서비스 업체에 통보했고, 가맹점 측에 전달돼 취약점 수정이 이루어진 것으로 알려졌다.


‘Paros’는 웹 취약점 분석을 위한 웹 애플리케이션 보안성 평가 프로그램으로 이를 역이용해 취약한 부분을 악용하면 데이터 위·변조가 가능하다는 것. 

     

 ▲ Paros를 이용해 서버로 보내지는 데이터 변조하여 버스요금 결제를 10원으로 결제할 수 있다.


보안 분야에 관심을 갖고 공부하고 있는 홍종근 군(포항이동고등학교)은 “매주 주말 학원 때문에 포항에서 서울로 가는 시외버스를 이용하고 있는데 시외버스 인터넷예매를 하려다 우연히 PG사(Payment Gateway: 결제대행서비스)에서 카드사로 연결해주는 페이지에서 ‘Paros’를 이용해 서버로 보내는 데이터를 변조할 수 있는 취약점을 발견했다”고 설명했다.


이러한 취약점은 상당히 오래 전부터 알려진 취약점이고 결제사에서는 금전적인 피해로 이어질 수 있기 때문에 대부분 조치를 취하고 있다. 하지만 이 사이트에서는 보안조치 없이 노출되어 있었다는 것.


홍종근 군은 “KG모빌리언스와 하나SK카드 결제모듈간의 데이터를 Paros를 이용해 서버로 보내지는 데이터를 변조하여 시외버스 예매사이트(bustago.or.kr)에서 정상 버스 요금 17,200원을 10원으로 결제해 최종적으로 KG모빌리언스(이하 PG사)에서 시외버스터미널 측으로 17,200원이 정상 결제되었다는 결과를 넘겨주는 과정을 확인했다”고 설명했다.


또한, 그는 “이 취약점 분석에는 Paros와 bustago.or.kr, PG사, 하나SK카드의 결제모듈이 이용됐다. 테스트는 실제 버스예매를 하는 것처럼 진행했으며, 결제 실행결과 시외버스 예매 홈페이지에서는 총 금액 17,200원, 19번 자리가 예약된 것을 확인할 수 있었다”고 덧붙였다.

 

홍 군은 “이러한 취약점에 대응하기 위해서는 서버측에서는 클라이언트에서 넘어오는 값을 검증해야 하며, 해당 PG사와 하나SK카드 모두 결제모듈에 대한 보안을 강화해야 된다. 또한, 결제 모듈에서 Proxy를 타고 들어오는 데이터를 필터링해 이를 차단하는 것도 한 가지 방법이 될 수 있다”고 강조했다.


이와 비슷한 방법으로 2012년 모바일 상품권 값을 무단 변경해 부당 이익을 취한 혐의(컴퓨터등사용사기)로 고등학생 박 모군(16)이 불구속 입건된 사건이 있었다. 한편, 홍 군은 “이번 취약점을 이용해 취해진 부당 이익은 시외버스터미널 전산팀에서 정상환불 처리했으며, 터미널 전산팀 측에 해당 사실을 알리고 보안조치를 취하도록 했다”고 전했다. 

이와 관련 KG모빌리언스 측은 “해당 가맹점이 결제단계에서 결제페이지를 호출하면 당사에서는 파라미터(Parameter)를 암호화(MXHASH값)해 전송하고 있다. 이에 해당 가맹점에서도 동일 데이터로 암호화해서 결제값을 체크해야 하지만 이번 건은 그렇게 하지 않은 것으로 확인됐다”고 설명했다.


또한, 그는 “일반적으로는 모든 가맹점들이 우리가 암호화해 보낸 값에 대해 암호화해서 체크하고 있다. 하지만 해당 가맹점의 경우 소규모 사이트이다 보니 이러한 부분을 신경 쓰지 못한 것으로 보인다. 당사는 이런 취약점이 재발하지 않도록 가맹점에서 결제페이지를 최초 호출 시에도 중요 값들을 암호화해서 처리하도록 할 계획”이라고 덧붙였다.


즉, 가맹점인 버스타고에서는 PG사인 모빌리언스로 받은 값(결제금액, 코드 등)에서 최초 결제요청 시 받은 금액과 일치하는지를 체크해야 하는데 이 가맹점에서는 이를 체크하는 시스템이 없었다는 것.


이에 KG모빌리언스 측은 가맹점이 결제요청 시 금액·상품명 등을 암호화해 제공하고 이러한 소규모 가맹점들이 체크하지 못한 부분이 없도록 시스템을 개발할 계획이라고 설명했다.


한편, KG모빌리언스 개발팀에서는 가맹점(버스타고) 측에 이번 취약점과 관련해서 결제정보 변조여부를 체크할 수 있게 수정하면 문제를 해결할 수 있다고 통보한 것으로 알려졌다. 
[김태형 기자(boan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

'뉴스 스크랩' 카테고리의 다른 글

[보안뉴스] 보안뉴스에 출연하였습니다.  (0) 2013.08.25
이름 :
비밀번호 :
홈사이트 :
비밀글 :
*1 
count total 225,087, today 13, yesterday 14
rss
I am
카테고리
블로그 이야기
보안
리뷰
Photo by 홍종근
뉴스 스크랩
학습
다이어리
티스토리 초대장 배포
글 보관함
2014/08, 2014/06, 2014/02, 2013/10, 2013/08,
달력
«   2013/08   »
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31