포털사 메일의 미리보기 기능, 보안 구멍?

메일 미리보기 ‘utf-7 XSS’ 취약점 발견...다음 측 “현재 조치 완료”

불법사이트로 연결돼 악성코드 감염 가능...포털사 전체 점검 필요

[보안뉴스 김태형] 한 포털사이트가 제공하는 이메일의 미리보기 기능에 취약점이 발견됐다가 현재는 조치가 완료된 것으로 나타났다.

포털사이트 다음에서 제공하는 이메일의 미리보기 기능에서 악용될 수 있는 ‘utf-7 XSS(CVE-2008-0769)’ 취약점을 보안전문가이자 ISMS 심사원인 이원백 씨가 발견해 본지에 알려왔으며, 곧바로 다음 측에 통보돼 현재는 조치가 완료된 상태다.

이 취약점은 다음 메일의 기능중에 하나인 수신 시 ‘미리보기’를 할 때 javascript를 이용한 ‘utf-7 XSS’ 공격이 가능한 취약점이다.

이번 취약점을 발견한 이원백 씨는 “이 취약점은 javascript가 작동하는 환경에서 메일 수신 시 ‘미리보기’ 기능을 이용할 때 발생하며 윈도우, 리눅스 등 javascript가 작동하는 OS환경에서 발생한다”고 설명했다.

덧붙여 그는 “이번에 채집한 자료는 단순 불법 도박사이트로 유도하는 것이었지만, 해커가 악용했을 때는 악성코드를 유포할 수도 있고, 3.20 사이버테러와 같은 APT 공격의 하나로 사용될 수도 있다”면서 “다른 포털 사이트에서도 비슷한 문제가 발생할 가능성도 있다”고 밝혔다. 그가 설명하는 이번 취약점 검증순서는 다음과 같다.

① 공격자가 javascript를 사용해 charset=utf-7로 메일 발송
② 다음에서 제공하는 메일함의 ‘미리보기’ 기능

③ 공격자로부터 받은 메일

④ charset utf-7을 ISO-8859-1로 변환

⑤ 문자열 치환

⑥ 메일 제목에 마우스 오버 시 팝업창이 생성되고 팝업창 위에 마우스를 올리고 내용을 확인하게 되면 공격자가 링크한 사이트로 리다이렉트된다.

취약점 발견 당시에는 현재 활성화된 불법 도박사이트(http://fnakxltm.com/img/KRT1)로 연결됐던 것으로 나타났다.

이와 같은 취약점의 발생원인은 다음 메일에서 ‘charset: utf-7’로 전송되는 문자열을 필터링하지 않는 문제점 때문이다. 메일 발신 시 ‘charset: utf-7’로 전송하면 수신자의 메일함에서 ‘미리보기’를 사용할 때 디코딩되어 <div onmouseover="location.href=‘Livelink’">가 동작해 특정 Livelink 사이트로 리다이렉션된다. Livelink 사이트에서 ‘Drive by Download’를 이용해 사용자의 PC를 감염시키게 되는 것.

이원백 씨는 “이와 같은 공격을 통해 도박, 음란, 약물 등 불법 사이트로 라다이렉트되어 악성코드에 감염될 위험성이 존재한다. 또한, APT 공격을 통해 Drive by Download 사이트로 리다이렉션해 악성코드에 감염되면 좀비PC가 되고 이를 이용하면 지난 3.20 사이버테러와 같은 공격이 가능하기 때문에 주의가 필요하다”고 강조했다.

이와 관련 다음 측은 “기술팀에서 해당 취약점에 대한 수정·보완 조치를 진행해 현재는 조치를 완료했다”고 밝혔다.

[김태형 기자(boan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)