html 태그에 대한 필터링 이루어지지 않아 발생

게임메카 측, 해당 취약점에 대해 1차 보안조치...추가 대책 마련중  

[보안뉴스 김태형] 게임 전문 온라인 매체인 게임메카 사이트(www.gamemeca.com)에서 XSS(Cross Site Scripting) 취약점이 발견되어 이용자들의 주의가 필요하다.

인제대학교 정보보안동아리 돗-가비 소속 이상철 씨는 “게임메카 사이트에서 게시물 등록 시 html 태그에 대한 필터링이 전혀 이루어지지 않아 XSS 공격 취약점이 발생했다”라고 밝혔다.

이어서 그는 “해당 사이트 이용자는 CSRF, 악성코드 배포, 하이재킹 공격 등 2, 3차 피해를 입을 수 있어 각별히 주의해야 한다”고 강조했다.

또한, 그는 “사진 업로드 시 파일 확장자명에 대한 필터링이 이루어지지 않아 php, asp 등의 보안상 취약한 파일의 업로드를 허용하고 있다. 이러한 취약점은 웹셸 업로드 등을 통해 웹 서버 전체의 제어권을 악의적 해커가 가질 수 있다는 점에서 매우 위험한 취약점”이라고 설명했다.

    ▲ Attack Test

     ▲ XSS TEST

이러한 취약점에 대응하기 위해서는 게시물 등록 시에 보안상 취약한 html 태그들에 대해 필터링을 하는 코드를 추가하거나 html을 화이트리스트 방식으로 제한적으로 허용하는 방법으로 XSS 공격을 방어할 수 있다.

아울러 사진 등록 시 확장자명을 jpg,bmp 등의 확장자를 가진 파일의 업로드만 허용하도록 해 파일 업로드 공격을 방어할 수 있다.

이에 대해 게임메카 측 담당자는 “현재 html iframe(아이프레임)은 열어 놓고 있다. 왜냐하면 유튜브 사이트에 동영상 업로드를 위해서는 아이프레임을 차단하면 안되 기 때문이다. 이로 인해 보안취약점이 생기는 부분에 대해서는 향후 어떻게 해야할지 계속 논의 중”이라고 밝혔다. 

덧붙여 그는 “파일 업로드 취약점에 대해서는 계속적으로 보완해 나가고 있다. 현재 이미지 파일만 업로드가 가능하도록 되어 있긴 한데 업로드 된 파일이 실행되지 않도록 했기 때문에 웹셸이 업로드 되더라도 실행되지 않아 보안측면에서는 문제가 없다. 향후에도 지속적인 모니터링과 보안관리를 통해 보안조치를 취해 나갈 것”이라고 전했다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>