위즈몰 사용하는 쇼핑몰 제로데이 등 4가지 취약점에 노출!

[보안뉴스 길민권] 국내 쇼핑몰 20~30%가 사용하고 있는 쇼핑몰 솔루션 ‘위즈몰’ 최신버전에 대한 제로데이(0-day)  취약점이 발표돼 쇼핑몰을 이용하는 사용자들의 개인정보가 위험한 상황이다. 이에 대한 신속한 대처가 필요하다. 

국제정보보안센터(이하 i2Sec. 부산)은 16일 국내 무료 쇼핑몰 ‘위즈몰’ 최신 버전에 대한 취약점(0-day Exploit)을 발표했다. 위즈몰은 국내 무료 쇼핑몰로 여러 방면에서 널리 보급되어 사용 중 인 홈페이지다.

위즈몰에서 발견된 대표적인 취약점으로는 XSS, CSRF, 안전하지 않은 직접객체 참조, 보안상 잘못된 구성 등 4가지로 드러났다. 구체적인 취약 현황은 아래와 같다.

◇XSS 취약점 = XSS(Cross Site Scripting)는 동적 생성 웹 페이지에 악의적인 스크립트를 넣어, 사용자가 해당 페이지를 열람했을 경우 삽입한 스크립트를 실행하도록 함으로써 사용자의 정보를 탈취하는 웹 해킹 기법이다.

◇CSRF 취약점 = CSRF(Cross Site Response Forgery)는 크로스-사이트 스크립팅(XSS)과 유사한 점이 있지만, XSS의 경우에는 악성 스크립트를 웹사이트에 삽입할 필요가 있는 반면, CSRF 공격의 경우 사이트가 신뢰하는 사용자를 통해 공격자가 원하는 명령을 사이트로 전송하도록 하는 기법이다.

◇안전하지 않은 직접객체 참조 취약점 = 어플리케이션은 웹페이지를 생성할 때 종종 실제 이름이나 키값을 사용한다. 어플리케이션은 사용자가 대상객체에 대한 권한을 갖고 있는지 항상 검증하지 않는다. 이를 이용하여 타사용자 정보를 조회할 수 있다.

◇보안상 잘못된 구성에 대한 취약점 = 허가되지 않은 접근이나, 시스템 정보 획득을 위해 공격자는 디폴트 계정, 사용되지 않는 페이지, 패치 되지 않은 결함과 보호되지 않은 파일과 디렉토리 등을 통해 접근한다.

이상과 같은 취약점에 대한 대응은 어떻게 해야 할까.

우선 XSS를 방지하려면 활성브라우저 콘텐츠와 신뢰 할 수 없는 데이터를 항상 분리해야 한다.

1. 선호되는 방법은 신뢰할 수 없는 데이터가 포함 될 수 있는 HTML(body, attribute, 자바스크립트, CSS, URL) 기반데이터 전체를 올바르게 제한하는 것이다. UI 프레임워크 에서 제한처리를 수행하지 않는다면 개발자들은 어플리케이션 내 에서 제한 처리를 포함시켜야 한다.

2 .적절한 정규화와 디코딩 으로 긍정적 혹은 화이트 리스트 입력검증을 수행하는 것도 XSS로부터 보호 하는데 도움이 되지만 입력에 특수 문자가 필요한 어플리케이션이 많기 때문에 완벽한 방어책은 될 수 없다. 이 경우 입력을 허용 하기 전에 가능한 인코딩 된 모든 입력을 디코딩 해 길이, 문자, 포맷, 데이터 관련 업무 역할을 검증하도록 한다.

다음은 CSRF 예방하는 방법이다. 각각의 HTTP 요청 URL이나 Body내에 예측 할 수 없는 토큰을 포함하는 것이다.

생성된 토큰은 최소한 사용자 세션별로 반드시 고유한 값을 사용하되 각각의 요청마다 고유할 수도 있다

안전하지 않은 직접 객체 참조를 방지하려면 모든 저장 데이터 값을 암호화하며 HASH 되었는지 확인해야 한다.

마지막으로, 보안상 잘못된 구성에 대한 방안은 모든 새로운 소프트웨어 업데이트와 패치를 각각의 배치환경에서 시기 적절하게 배포와 최신 수준을 유지하기 위한 프로세스. 이 프로세스는 종종 간과 될 수 있는 모든 코드 라이브러리 또한 포함이 필요하다.

현재 위즈몰 사용자는 홈페이지 보안패치 권고안대로 수정해야 하며 고객 정보의 안전한 관리를 위해 보안점검을 철저히 해야 한다.

이번 취약점을 발표한 i2Sec(http://www.i2sec.co.kr/)은 2010 OWASP TOP 10(웹 어플리케이션 10대 취약점)에 대한 자체제작 영상을 배포했다. 영상은 http://www.i2sec.co.kr/공지사항란을 통해 시청 가능하다.

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>