LPSE 팔렘방 웹 서버 보안 취약점 평가

초록

본 연구는 인도네시아 팔렘방시 전자조달 서비스(LPSE) 웹 서버에 대한 침투 테스트를 수행하여 현재 보안 수준을 진단한다. 다중 도구를 활용한 취약점 스캔 결과, 서버 구성 오류와 알려진 소프트웨어 취약점이 다수 발견되었으며, 이를 기반으로 실질적인 방어 강화 방안을 제시한다.

상세 분석

본 논문은 LPSE 팔렘방 전자조달 시스템의 웹 서버가 실제 운영 환경에서 얼마나 안전한지를 평가하기 위해 체계적인 침투 테스트 절차를 적용하였다. 먼저, 정보 수집 단계에서 WHOIS, DNS 조회, 포트 스캐닝(Nmap) 등을 이용해 서버의 IP 주소, 운영 체제, 공개 서비스 포트를 파악하였다. 결과는 Apache HTTP Server 2.4.29와 PHP 7.2가 구동 중이며, MySQL 5.6이 백엔드 데이터베이스로 사용되고 있음을 보여준다. 이후 취약점 스캐닝 단계에서는 OpenVAS와 Nikto, OWASP ZAP을 병행 사용하였다. OpenVAS는 CVE‑2019‑0211(Apache HTTP Server 권한 상승)과 CVE‑2018‑1000537(PHP 원격 코드 실행) 등을 고위험 등급으로 보고했으며, Nikto는 디렉터리 인덱싱이 비활성화되지 않은 점, 오래된 서버 배너가 노출된 점을 지적하였다. ZAP을 통한 동적 분석에서는 입력 검증이 미흡한 몇몇 GET/POST 파라미터에서 SQL 인젝션 가능성을 확인했고, 파일 업로드 기능에서 경로 탐색(Directory Traversal) 취약점이 존재함을 발견하였다. 특히, /admin/ 디렉터리 접근 제어가 약해 관리 페이지가 인증 없이 노출되는 문제가 발견되었으며, 이는 관리자 계정 탈취 위험을 크게 높인다. 취약점 검증 단계에서는 Metasploit 모듈을 이용해 실제 익스플로잇을 시도했으며, 일부 취약점(예: PHP‑7.2의 unserialize 취약점)을 통해 원격 쉘을 획득하는 데 성공하였다. 이러한 실험 결과는 LPSE 웹 서버가 최신 보안 패치를 적용하지 않은 채 운영되고 있음을 명확히 보여준다. 마지막으로, 위험도 평가에서는 CVSS v3.1 기준으로 평균 점수가 8.2점(고위험)으로, 즉각적인 보안 조치가 필요함을 강조한다. 전체 분석을 통해 발견된 주요 문제는 (1) 소프트웨어 버전 관리 부실, (2) 불충분한 입력 검증 및 파라미터화, (3) 권한 관리 미비, (4) 보안 헤더 및 HTTPS 설정 부족이다. 이러한 취약점들은 전자조달 시스템의 무결성과 기밀성을 위협하며, 공격자가 입찰 정보를 변조하거나 서비스 거부(DoS) 공격을 수행할 수 있는 기반을 제공한다.