| 웹 오피스 프로그램의 취약한 보안 ‘도마 위’ | 2013.03.14 | ||
네이버 웹 오피스에서 보안 취약점 발견!...현재 조치 완료돼 하이재킹, DDoS 악성코드, 웜바이러스 배포 가능...보안점검 필요! [보안뉴스 김태형] 클라우드 서비스 확대 등으로 인터넷 상에서 바로 문서를 작성하고 저장할 수 있는 웹 오피스 프로그램이 인기를 얻고 있다. 이러한 가운데 최근 국내 최대 포털사이트 네이버에서 제공하는 문서 서비스 ‘웹 오피스’에서 보안 취약점이 발견됐다 조치된 것으로 알려져 웹 오피스 프로그램의 보안성이 도마 위에 오르고 있다.
▲ 네이버 오피스 서비스 네이버 오피스는 프로그램 설치 없이 문서를 웹에서 바로 작성하고 다양한 템플릿으로 사용 가능한 웹 어플리케이션이다. 하지만 공격자가 파워포인트 첨부파일을 이용해 취약점 코드를 업로드할 수 있었던 것으로 알려졌다. 이번 보안 취약점을 발견한 국제정보보안교육센터(i2sec) 박성진 씨는 “네이버 오피스(파워포인트) 취약점은 첨부파일에 대한 적절한 필터링이 이뤄지지 않아 발생하는 취약점이다. 상황에 따라 하이재킹, DDoS 악성코드, 웜 바이러스 배포로 이어질 수 있어 사용자는 주의해야 한다”고 말했다. 또한, 그는 “웹 오피스는 인터넷이 가능한 곳에서는 쉽게 사용이 가능하기 때문에 네이버 회원 누구나 오피스 서비스를 통해 파일을 열람할 수 있고 수정이 가능하다. 그러나 악성스크립트 코드가 필터링 되지 않은 파일 또는 게시물을 열람할 경우 악성코드에 감염되어 개인 또는 회사의 중요한 정보가 유출될 수 있다”고 강조했다.
또한, 검증되지 않은 리다이렉션 취약점의 경우 오페라에서만 작동되는 것이 확인됐다고 밝혔다.
국제정보보안교육센터 측은 “이번 취약점의 해결방안으로는 사용자의 우회 공격이 가능한 태그를 금지하고, 필터링 처리가 된 파일만 업로드를 가능하게 할 수 있도록 설정하는 방법 등으로 보안을 강화할 수 있다”고 설명했다. 또한, 취약점에 대한 발 빠른 대응을 위해서는 기관 및 기업과 화이트해커 사이의 빠른 피드백이 이루어질 수 있도록 오픈 커뮤니티가 활성화될 필요가 있다고 덧붙였다. 이와 관련해 네이버 측은 “이번 문제는 지난 8일 네이버 고객센터를 통해 신고가 들어와 현재는 조치가 완료된 상태”라며, “아직 이로 인한 피해사례는 없는 것으로 파악하고 있다”고 밝혔다. [김태형 기자(boan@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|||
 |
