해당 페이지 관리주체인 LG유플러스 측에 따르면 이 팬덤은 ‘크롬 시크릿모드’로 접속한 뒤 개발자 모드를 활용했다. 자신의 아이디와 휴대폰번호로 실명인증을 받은 뒤 인증된 상태에서 일명 개발자용 ‘디버그모드’에 접속, 임의로 이름과 휴대폰번호를 입력한 다음 아이디를 무한대로 생성해 투표했다.
이에 LG유플러스 측은 “보안 취약점 관련 이벤트 페이지에 비정상 경로로 접근하는 것에 대해 대비했으나 이번처럼 크롬 시크릿모드로 접근하는 예외처리가 미흡했다”고 인정했다. 아울러 이벤트 종료 시 페이지의 정보를 폐기한다고 밝혔다.
이번 해킹사고에 대해 보안업계 관계자는 웹페이지 보안문제라기보다 코딩단계에서의 문제로 봤다. 코딩단계에서 입력 값과 전송 값이 일치하는지 확인하는 장치를 마련했어야 한다는 것. 이 관계자는 “신뢰성검증 차원에서 A라는 해쉬값이 전송 시에도 A인지 확인하는 매커니즘이 있어야 한다”고 설명했다. https://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=105&oid=138&aid=0002068962
(엑소엘 해킹) 보안 사각지대 뚫린 골든디스크 인기상...취약점 노린 해킹사고 발생
이에 LG유플러스 측은 “보안 취약점 관련 이벤트 페이지에 비정상 경로로 접근하는 것에 대해 대비했으나 이번처럼 크롬 시크릿모드로 접근하는 예외처리가 미흡했다”고 인정했다. 아울러 이벤트 종료 시 페이지의 정보를 폐기한다고 밝혔다.
이번 해킹사고에 대해 보안업계 관계자는 웹페이지 보안문제라기보다 코딩단계에서의 문제로 봤다. 코딩단계에서 입력 값과 전송 값이 일치하는지 확인하는 장치를 마련했어야 한다는 것. 이 관계자는 “신뢰성검증 차원에서 A라는 해쉬값이 전송 시에도 A인지 확인하는 매커니즘이 있어야 한다”고 설명했다.
https://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=105&oid=138&aid=0002068962
엑소엘 해킹 기사 뜸