| 국내 초중고교 웹게시판 상당수 XSS 취약점 노출! | 2012.06.12 | ||
XSS 취약점의 보안패치 미흡...초중고교 웹게시판 대대적 점검 필요!
이러한 취약점을 발견해 보안뉴스에 알려온 제보자는 “국내 초·중·고 학교 홈페이지 게시판에 XSS(Cross-site Scripting, 크로스 사이트 스크립팅) 취약점이 존재하는 것을 발견했다”며, “서울의 모 고등학교와 지방에 있는 초·중·고 수십 곳을 대상으로 직접 테스트해 본 결과 대부분 학교 홈페이지 게시판에 XSS 취약점이 존재했다”고 설명했다. 학교 웹게시판에서 많이 발견된 XSS는 웹 애플리케이션에서 많이 나타나는 취약점 중에 하나로 웹사이트 관리자가 아닌 사람이 웹 페이지에 악성 스크립트를 삽입할 수 있는 취약점이다. 이는 주로 여러 사용자가 보게 되는 웹게시판에 악성 스크립트가 담긴 글을 올리는 형태로 이루어진다. 이 취약점은 웹 애플리케이션이 사용자로부터 입력 받은 값을 제대로 검사하지 않고 사용할 경우 나타나는데, 이 취약점을 이용해 해커는 사용자의 정보(쿠키, 세션 등)를 탈취하거나 자동으로 비정상적인 기능을 수행하도록 할 수 있다. 이번 취약점을 발견한 제보자는 “최근 보안에 대한 관심이 높아짐과 동시에 대부분의 홈페이지에서는 보안패치가 잘 되어 있다. 하지만 그 여파가 학교와 같은 교육기관 등에는 아직 미치지 않은 것 같다”며, “실험결과 대부분의 학교에서 기본적인 XSS 취약점도 패치가 되어 있지 않았으며 심지어는 SQL 인젝션이나 웹쉘과 같은 취약점에도 방치되어 있는 것이 현실”이라고 학교 홈페이지 보안관리의 문제점을 지적했다. 덧붙여 그는 “서울시 초·중학교는 교육청에 연계되어 운영되는 것으로 알고 있는데 이곳도 심각한 수준은 아니지만 몇 가지의 보안 취약점이 발견됐다”고 강조했다. 학교 홈페이지 중 보안 취약점이 발견된 샘플 소스 코드는 다음과 같다.
<IMG style="BORDER-BOTTOM-COLOR: rgb(0,0,0); BORDER-TOP-COLOR: rgb(0,0,0); DISPLAY: none; BORDER-RIGHT-COLOR: rgb(0,0,0); BORDER-LEFT-COLOR: rgb(0,0,0)" onerror=┖javascript:alert("XSS");┖ src="http://www.*****.com"> 무엇보다 이러한 취약점은 파로스 프록시를 통해 이름 또한 변조가 가능하다는 것이 큰 문제다. 이러한 학교 홈페이지 중에서는 회원가입과 본인 확인을 위해 주민번호를 수집하는 곳도 있고, 학교의 중요 정보와 학생들의 개인정보가 포함돼 있는 곳도 상당수다. 이러한 게시판 취약점을 이용한 공격으로 개인정보의 유출위험도 높아지기 떼문에 보안에 각별한 주의가 필요하다. 이와 관련 한 보안전문가는 “국내 대부분의 학교에서는 저렴한 비용으로 쉽고 간편하게 홈페이지를 구축하기 위해 전문 업체에 위탁하고 있어 보안이 미흡한 것이 현실”이라며, “이러한 학교 홈페이지에는 학생의 개인정보와 학부모 정보, 그리고 학교의 주요 정보가 저장돼 있기 때문에 해당 교육청들은 이에 대한 관심을 기울여야 한다. 이와 함께 지속적인 보안 관리 및 취약점 점검을 통해 보안을 강화하기 위한 노력이 필요하다”고 말했다. 이와 같은 게시판 XSS 취약점을 이용한 공격으로 홈페이지 해킹에 의한 사용자 계정 탈취, 피싱사이트 유도, 악성코드 유포 등의 피해가 가능하기 때문에 웹 관리자는 적극적인 보안조치가 필요하다.
이번 취약점 발견을 계기로 국내 초중고교의 웹게시판에 대한 대대적인 보안실태 및 취약점 점검이 필요할 것으로 보인다. [김태형 기자(boan@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|||
 |
