주소: https://www1.president.go.kr/petitions/260084?navigation=petitions
청원개요
이미 트위터에 공개적으로 게시된 내용입니다. 관련링크 참조해주시기 바랍니다. (아래 내용은 수정되었습니다.) 또한 현재 이런 제보를 했다가 '차단' 당하였다는 제보가 있어 VPN을 사용하여 업로드합니다. 최근 청와대 청원게시판에서 청원 동의 중에 JSON API가 노출되는 일이 있었습니다. 보통 이런 JSON API는 노출될 일이 없다는 것을 보통 인지하고 계실겁니다. 또한 저도 목격하였으며 이번이 처음이 아니며 저 또한 첫 목격자가 아니라는 것을 알려드립니다. 그리고 이 응답 이후 새로고침하여 얻은 데이터(폼 다시 보내기 사용 안 함)에는 cPanel의 에러페이지가 존재하고 있었습니다. 기존에도 이런 보안 허점은 여러가지로 존재하고 있었습니다. JSON API와 에러코드로 얻어낸 페이지에서는 청와대의 서버가 Nginx로 실행되고 있음을 보여주었으며 CSR 헤더 검사에서 청와대는 CSR 헤더가 존재하지 않는 것으로 나타났습니다. 또한 XSS 보호도 완벽하지 않은 것으로 알려졌으며 파일((link: http://www.president.go.kr/cwdimg/main/language_icon.gif) president.go.kr/cwdimg/main/la…)은 HTTP 연결로 수집되는 것을 확인하였습니다. 결과적으로 정부에서 주관하는 페이지는 우리가 생각했던 것보다 안전하지 않음을 알 수 있습니다. SSL은 기본적으로 인증서이며 서로 신뢰할 수 있다고 판단될 때 안전함으로 판단됩니다. 또한 GPKI의 CA-ROOT 인증서 거부는 아직도 다른 기업과 국가에게 신뢰받지 못하고 있습니다. 또한 근래의 DNS 관리 실패 허점의 발견과 함께 드러난 근래의 DNS Pollution (DNS 오염)을 이용한 HTTPS 연결의 차단 등은 절대로 합법적인 선에서 허락되지 않았습니다. (자세한 내용은 관련링크2 참조) 이런 정부의 무책임한 Active X 사용과 함께 다시 조명되어 지금이라도 새로운 프레임워크를 개발해야 할 것으로 보여져야 합니다. 또한 '보안프로그램'이라 불리는 것은 오직 IE에서만 동작하여 최신 웹브라우징 환경에 매우 취약함을 보여주고 있습니다. (그것에 대비하여 출시된 확장프로그램 또한 FireFox에서는 이미 이전버전으로 표시되어 설치가 불가능합니다.) (과연 이 보안프로그램이 우리에게 신뢰를 주고 있나요?) 그러므로 정부의 '나이스', '청와대', '교육부' 등 이전 웹 기술과 취약한 보안 허점을 가지고 있는 웹사이트는 모두 정부에 의해서 주도적으로 정부라는 이유만으로 표준을 무시할 사항이 아닌 표준을 향해 가야 합니다.
