대형 포털 3사, 검증되지 않은 리다이렉션 취약점 발견!

HTML 태그 필터링 이루어지지 않아 발생...OWASP 10대 취약점

[보안뉴스 김태형] 구글, 네이버, 다음 등의 대형 포털사이트에서 검증되지 않은 리다이렉션 보안 취약점 코드가 발견됐다.

이는 국내에서 가장 많이 사용하는 것으로 알려진 대형 포털 사이트 구글, 네이버, 다음의 게시판에 적용되는 검증되지 않은 리다이렉션 보안 취약점으로, 웹사이트의 HTML이 사용 가능한 게시물에 대한 사용자들의 주의가 필요하다.

국제정보보안교육센터(i2sec) 측은 “이번에 발견된 취약점은 국제웹보안표준기구 OWASP 10에서 보고된 ‘검증되지 않은 리다이렉션 및 포워딩’으로 HTML 태그에 대한 필터링이 제대로 이루어지지 않아 발생하는 취약점”이라고 설명했다.

“이에 해당 서비스 사용자는 CSRF, DDoS 악성코드, 웜바이러스, XSS, 배포, 피싱, 하이재킹 공격 등 2, 3차 피해를 입을 수 있어 각별히 주의해야 한다”고 국제정보보안교육센터(i2sec) 측은 덧붙였다.

이번 보안 취약점을 발견한 국제정보보안교육센터(i2sec) 박성진 씨는 “이번에 발견한 검증되지 않은 리다이렉션 취약점은 HTML 태그에 대한 적절한 필터링이 이뤄지지 않아 발생하는 취약점이다. 상황에 따라 CSRF, 하이재킹, DDoS 악성코드, 웜 바이러스 배포로 이어질 수 있어 이용자들은 주의해야 한다”면서 “신속한 조치가 이루어지지 않으면 큰 피해를 입을 수도 있다”고 말했다.

이어서 그는 “구글, 네이버, 다음은 소규모 사이트가 아닌 국제적인 대형 포털 사이트이기에 많은 사람들이 회원으로 가입돼 있고 이용자들 또한 매우 많기 때문에 경각심을 갖고 빠른 대응 조치를 취해야 한다”고 덧붙였다.

이 취약점의 공격시나리오를 살펴보면 다음과 같다.

▲ 공격시나리오 개요

▲ 구글, 네이버, 다음 등 대형 포털사이트에서 발견된 취약점

취약점 테스트 결과, 검증되지 않은 리다이렉션은 오페라에서만 동작하는 것을 확인했다.

국제정보보안교육센터 측은 “이번 취약점의 해결방안으로는 사용자의 우회 공격이 가능한 태그를 금지하고 구글, 네이버, 다음 측에서 제공하는 에디터를 통해서만 콘텐츠를 링크할 수 있도록 설정하는 방법 등으로 보안을 강화할 수 있다”고 설명했다.

또한 “이러한 취약점에 대한 발빠른 대응을 위해서는 개발사와 화이트 해커 사이의 빠른 피드백이 이루어질 수 있도록 오픈 커뮤니티가 활성화될 필요가 있다”고 국제정보보안교육센터 관계자는 강조했다.

한편, 현재 각 포털사별로 보안권고문을 배포한 상태이며, 패치를 진행 중이다.

[김태형 기자(boan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)