국내 유명 웹게시판에서 관리자 계정 탈취 취약점 발견!

제로보드XE-테크노트7에서 플래시 이용한 XSS취약점 발견돼

[보안뉴스 오병민] 국내 홈페이지 제작에 많이 이용되고 있는 웹게시판 프로그램인 ‘제로보드XE’와 ‘테크노트7’에서 공격자에게 관리자의 계정을 허용할 수 있는 취약점이 발견돼 주의가 요구되고 있다. 현재 해당 취약점은 국가사이버안전센터에 신고 접수돼 개선이 진행 중이다.

발견된 취약점은 플래시의 보안허점을 이용해 XSS(Cross-site scripting) 공격을 허용할 수 있는 것으로, 웹 서비스 상에서 사용자로부터 입력받은 값을 검증하지 않고 그대로 사용할 경우 나타나는 웹 취약점이다.

이 취약점을 이용하면 사용자의 인터넷 연결정보(쿠키, 세션)를 탈취할 수 있기 때문에 관리자나 다른 사용자의 연결정보를 가로채 재전송함으로써 관리자나 다른 사용자로 로그인할 수 있다. 즉, 관리자로 로그인한 상태에서 XSS 공격이 시도되면 관리자로 로그인 할 수 있는 것.

이 취약점은 XSS가 실행되는 악성코드가 삽입된 플래시가 실행돼야 공격이 가능하다. 그런데 테크노트7의 경우에는 관리자로 로그인 상태에서도 게시글을 열람할 때 플래시가 실행돼 쉽게 공격이 가능한 것으로 확인됐다. 그러나 제로보드XE의 경우에는 관리자로 로그인한 상태에서 게시글을 열람할 때는 플래시가 실행되지 않아 일반적인 상황에서는 공격이 성공이 어려운 것으로 파악됐다.

그러나 게시글 작성시 글쓰기 웹에디터에서는 플래시가 실행되기 때문에 공격자가 관리자에게 쪽지로 글쓰기 편집상태의 주소를 보내 열람하게 하면 XSS 공격이 가능한 것으로 확인됐다.

이 취약점을 발견해 신고한 박세욱(18세, 남) 씨는 “해당 취약점에 노출되지 않기 위해서는 플래시 실행시 특정 스크립트가 실행되지 않도록 게시물 작성 전 플래시 태그의 ‘AllowScriptAccess’를 ‘never’로 설정해야 한다”고 당부했다.

[오병민 기자(boan4@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)