신방초 신재현군, 파일공유 사이트 ‘FILEDOK’ XSS 취약점 발견

[보안뉴스 김지언] 국내 파일공유 사이트 중 하나인 ‘FILEDOK(파일독)’이 XSS 공격에 취약한 것으로 드러났다.

이번 취약점을 발견한 신방초등학교 신재현 군은 “간단한 우회방법만으로도 공격을 쉽게 할 수 있어 더욱 위험하다”고 설명했다.

이번 취약점은 ‘댓글 쓰기’ 부분에서 발견된 것으로, 파일독 측에서 보안에 취약한 HTML 태그들을 금지어로 정해 필터링했으나 소문자 태그들만 금지하고 대문자가 포함된 태그는 필터링 하지 않은데 따른 것이다.  이외에도 본지에서 확인한 결과 신군이 제보한 방법을 비롯해 다양한 우회방법이 가능해 보안에 매우 취약했던 것으로 드러났다.

XSS(Cross Site Script) 취약점은 국제 웹 보안표준기구인 OWASP에서 경고하는 10대 웹 보안취약점으로, 노출될 경우 공격자가 악의적인 스크립트를 업로드하여 웹페이지를 열람하는 사용자의 세션 정보를 탈취하거나 악성코드를 유포하는 등 심각한 피해를 발생시킬 수 있다.

한편, 파일독 측은 신군이 발견한 우회공격 패턴에 대해서는 조치를 취했으나 근본적인 해결방안이 아닌 일부 공격 패턴만 차단해 아직까지 우회공격이 가능한 것으로 드러났다. 따라서 ‘댓글쓰기’ 란에 HTML 태그 자체를 허용하지 않는 등 보다 근원적인 조치가 필요할 것으로 보인다.     

[김지언 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>