장원용씨가 발견해 그누보드측에 전달...취약점 해결한 패치 배포

[보안뉴스 호애진] 공개 웹 게시판인 그누보드에서 취약점이 발견됐다. iframe 태그를 이용한 XSS 공격이 가능한 취약점으로, 이번 취약점에 영향 받는 소프트웨어는 그누보드 4.36.12 및 이전 버전이다.

iframe 태그는 그 위험성으로 인해 script, img 태그와 더불어 사용이 제한되는 경우가 많다. 그누보드 역시 이를 근본적으로 사용하지 못하게 하고 있지만, 이를 우회할 수 있는 취약점이 발견된 것이다.

iframe 태그가 아무런 제한없이 사용이 가능할 경우, 사용자는 의도와 상관없이 다른 웹페이지를 보게 되는 결과를 초래한다. iframe 태그를 이용해 어떤 페이지를 보여주느냐에 따라 다양한 공격이 진행될 수 있다.

우선 클릭재킹(Clickjacking)을 예로 들 수 있다. 이는 인터넷 광고에서 흔히 볼 수 있는 방식으로, ifame 태그의 기능을 이용해 상대방을 속이는 공격방법이다. 2개의 레이아웃을 이용해 뒤쪽에는 실제 페이지를 숨겨두고, 사용자에게는 앞쪽 레이어를 이용해 실제와는 다른 가상의 페이지를 보여주는 방식으로 이뤄진다.

실제 공격을 진행할 때는 클릭재킹을 위한 페이지를 따로 제작해 두고, 이를 iframe 태그로 나타내주는 방식으로 간단하게 공격이 가능하다. 클릭재킹을 위한 페이지를 어떠한 방식으로 제작하느냐에 따라 다양한 공격으로 응용이 가능하기 때문에 피해 정도가 증가할 수 있다.

두번째는 악성코드 및 바이러스 유포다. 이는 iframe 태그가 가진 속성 값을 이용하는 방법으로, iframe 태그의 크기를 수정해 해당 페이지를 보고 있는 이용자를 속이는 것이다.

악성코드 및 바이러스 유포를 위한 페이지를 제작하고, iframe 태그를 이용해 프레임을 숨겨 게시물을 등록하게 되면 해당 페이지를 보는 이용자 모두에게 피해를 주는 문제가 야기된다.

웹 보안 공부를 위해 HTML, PHP를 공부하던 중 이번 취약점을 발견한 장원용씨는 1월 24일 이를 발견해 25일 KISA에 보고했으며, 이를 전달받은 그누보드는 해당 취약점을 해결하고 29일 최신 패치를 배포했다.

그는 “XSS 공격의 경우, 개발사는 일반적으로 HTML을 근본적으로 막는 방식이나 화이트리스트 방식을 이용해 방어를 하고 있지만, 완벽한 XSS 공격 방어책은 없기 때문에 다양한 공격유형에 대한 지속적인 관심과 신속한 업데이트가 필요하다”고 강조했다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>