피싱·악성사이트로 리다이렉트 될 수 있어...다음, 금주내 조치 예정 

[보안뉴스 김태형] 국내 포털사이트 다음에서 검증되지 않은 리다이렉트와 포워딩 취약점이 발견되어 이용자들의 주의가 필요하다.

검증되지 않은 리다이렉트와 포워드(Invalidated Redirects and Forwords)는 국제웹보안표준기구인 ‘OWASP Top 10’에 명시된 주요 보안위협에 해당하는 공격기법으로 알려져 있다.

이번 취약점을 발견한 국제정보보안센터(이하 i2Sec) 김정훈 씨는 “웹어플리케이션은 종종 사용자들을 특정 파라미터를 통해 리다이렉트 하는데 적절한 검증과정 없이 리다이렉트하면 피싱사이트나 악의적인 사이트로 리다이렉트가 될 수 있다. 이에 가능하다면 리다이렉트를 사용하지 않는 것이 좋고 꼭 사용해야 할 상황이라면 목적 URL이 어떤 파라미터 값을 포함하고 있는지 식별해야 한다”라고 강조했다.

이 취약점을 이용하면 공격자는 자신들이 만들어 놓은 서버로 이용자들을 리다이렉트할 수 있다. 다음의 경우, 쇼핑몰리스트의 특정 파라미터를 적절히 필터링하지 않아 외부의 해커 서버로 연결될 수도 있다는 것.

이어서 그는 “해당 취약점은 고객센터를 통해 다음 측에 전달했으며 현재 수정 중이라는 답변을 받았다. 현재 발견된 검증되지 않은 리다이렉트와 포워딩 취약점은 URL을 통해 피싱 사이트와 악성 사이트로 리다이렉트될 수 있어 다음과 같은 대형 포털 사이트는 경각심을 가지고 빠른 대응조치를 취해야 할 것”이라고 덧붙였다.

이에 대해 다음 측은 “해당 취약점에 대해서는 전달받았고, 금주 중으로 기술팀에서 관련 보안조치를 완료할 것”이라고 밝혔다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>