[보안뉴스 오병민] 국내 유명 쇼핑몰 솔루션인 ‘위즈몰’에서 고객정보 및 중요 데이터가 유출될 수 있는 치명적인 취약점이 발견됐다. 다행히 이 취약점은 개발사로부터 취약점이 수정된 패치가 공개됐기 때문에 해당 쇼핑몰들은 서둘러 패치를 진행해야할 것으로 보인다.

위즈몰은 국내 인터넷 쇼핑몰의 20% 이상을 차지할 정도로 유명한 쇼핑몰 구축 플랫폼이다. 이에 따라 해당 솔루션을 이용하고 있는 사용자들은 서둘러 패치를 적용해야할 것으로 보인다.

패치의 주소는 ‘http://shop-wiz.com/board/main/view/root/notice/138/’이다.

위즈몰의 개발사 숍위즈 측은 수동으로 패치를 적용하기 위해서는 배포중인 파일중 ‘/lib/class.common.php’의 ‘filedownload’를 업데이트 하면 된다고 설명했다.

위즈몰의 파일다운로드(filedownload) 취약점은 파일 다운로드에서 상위 경로를 통해 원하는 파일을 다운 받을 수 있는 취약점이다. 즉, 게시판이나 자료실 등에 저장된 파일에 대해 세션체크 및 권한 체크가 이루어지지 않아 웹서버 내의 자료(고객정보 등)를 다운로드 받을 수 있는 것.

이번 취약점은 예전에도 한차례 문제점이 발견돼 패치를 진행했었지만, 그후 소스업데이트를 진행하면서 다시 취약점이 드러난 것으로 파악되고 있다.

해당 취약점은 i2Sec(국제정보보안센터) 수강생인 이선형씨가 발견해 위즈몰 개발사인 숍위즈 측에 전달했고, 이를 전달받은 숍위즈는 보안 패치를 공개한 것으로 전해지고 있다.

보안업계의 한 관계자는 “파일다운로드 취약점은 단순한 방법으로도 중요정보가 유출될 수 있는 기본적인 취약점 중 하나이기 때문에 조금만 신경 쓰면 충분히 취약점을 노출하지 않을 수 있다”고 말했다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>