취약점 진단과 함께 보완 조치해야...대부분 관리 미흡으로 발생  

[보안뉴스 김태형] 국내 웹사이트의 상당수가 XSS·파일업로드 취약점에 대한 조치 미흡으로 보안에 취약한 것으로 나타나 대책 마련이 요구되고 있다.

이러한 가운데 컴퓨터 판매 업체 사이트인 피씨플러스의 경우 XSS 취약점이 발견됐고 초대장이나 청첩장을 판매하는 온라인 쇼핑몰 퀵카드에서는 파일업로드 취약점이 발견되어 이용자들의 주의가 필요하다.

             
              ▲ 퀵카드의 취약한 업로드 페이지

XSS 취약점은 HTML 태그에 대한 필터링이 되지 않은 데 따른 것으로, 간단한 문구만으로 XSS공격을 통해 관리자 권한 탈취 및 악성코드 삽입이 가능하다. 또 파일 업로드 취약점은 소스코드 부분에 기본적인 파일 확장자 검증 부분이 없어 공격자가 웹셸 등을 통해서 침투할 수 있다.

상동고등학교 1학년 최성환 군은 “피씨플러스라는 컴퓨터 판매업체 사이트에서 간단한 구문만으로 XSS 공격이 가능하다는 것을 발견했다. 공격자는 XSS 공격으로 사이트의 관리자 권한 탈취 및 악성코드 삽입 등이 가능해 확실한 대비가 필요하다”면서 “이 사이트의 관리자에게 메일을 보내봤지만 아무런 대답이 없었다. 이 취약점에 대한 대응방법은 개발자가 관심을 갖고 특수문자 필터링 등 보안코딩을 한다면 이와 같은 XSS 공격을 막을 수 있다”고 설명했다.

또한, 보안전문가 김관영 씨는 “최근 퀵카드에서 파일업로드 취약점이 발견돼 해당 사항을 한국인터넷진흥원 측에 전달했다”면서 “이 취약점 발생 원인은 웹서버 관리 미흡에 있다. 실제 취약한 파일 업로드 페이지 부분을 보면 이미지만 업로드 하도록 나와 있지만 확장자 검증 자체가 없어서 어떤 파일이라도 업로드가 가능하다”고 말했다.

그는 “특히 퀵카드의 취약점은 Server Side Script 파일에 대한 검증 부족으로 인해서 발생한 취약점이다. 대응방법은 파일 업로드를 처리하는 웹 소스코드에서 첨부 파일의 확장자를 보고 필터링 하거나 디렉터리 스크립트 실행설정을 제거해서 웹셸이 업로드 되더라도 실행하지 않게 환경을 구성하는 것이 좋다”고 말했다.

이들 취약점들은 각각 해당 웹사이트 담당자에게 전달됐다. 하지만 이들 웹사이트는 모두 외주 제작·관리되고 있어 별도의 웹사이트 관리 담당자가 없고, 별도의 보안조치를 취하지도 않는 등 보안에는 무방비 상태인 것으로 드러났다. 이에 따라 중소 사업자들의 웹사이트를 대상으로 한 보안취약점 점검 및 보안강화 조치가 시급한 것으로 보인다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>