| 언론사 홈피 게시판·블로그 보안취약점 ‘주르르’ | 2014.02.03 | ||||
MBC 시청자 게시판 및 조인스닷컴 블로그 등 보안취약점 다수 [보안뉴스 김태형] 국내 지상파 방송국과 주요 신문사의 홈페이지 게시판과 블로그 등에서 보안취약점이 연이어 발견돼 언론사들의 허술한 보안관리가 다시 한번 도마 위에 오르고 있다.
먼저 국내 지상파 방송사 MBC의 홈페이지 게시판에서 XSS 취약점이 발견되어 이용자들의 주의가 필요하다.
▲ MBC 홈페이지 시청자 게시판에서 발견된 XSS 취약점 국제정보보안교육센터(i2sec) 18기 수강생 배주한 씨는 “MBC 사이트 게시판에서 취약점을 테스트한 결과, 필터링이 이루어지고 있지만 우회 시도 시 XSS 취약점이 발견됐으며, 각 프로그램별 TV, 라디오, 시청자 게시판에 모두 취약점이 존재했다”고 설명했다. XSS는 동적 생성 웹 페이지에 악의적인 스크립트를 넣어 사용자가 해당 페이지를 열람했을 경우 삽입한 스크립트를 실행하도록 함으로써 사용자 정보를 탈취하는 웹 해킹 기법으로 이를 열람하는 사용자의 브라우저에서 해당 코드가 실행되도록 하거나 웜, 바이러스 배포, 사용자 세션 정보 탈취, CSRF 공격 등 2차, 3차 피해로 이어질 수 있는 공격이다. 이러한 보안취약점은 방송사 홈피 시청자 게시판 뿐만이 아니다. 국내 종합 일간지 중앙일보의 온라인 사이트인 조인스닷컴에서 제공하는 미디어-블로그 연계 서비스인 조인스닷컴 블로그에서도 XSS 취약점 및 인증우회 취약점이 발견된 것.
이번 취약점을 발견한 국제정보보안교육센터(i2sec) 18기 수강생 정여진 양은 “블로그 내 게시판 및 방명록에서 ‘iframe, body’ 태그를 이용해 XSS 취약점이 존재한다는 사실을 발견했고, 타인의 글을 수정할 수는 없으나 페이지 소스보기 시 타인 글 정보를 이용해 수정 및 삭제가 가능하다”고 설명했다. 또한, 이 블로그에는 XSS 취약점과 함께 인증우회 및 중요정보 노출 취약점도 존재하는 것으로 드러났다. HTML 페이지 주석에 중요 정보를 담아 둘 경우 공격자는 소스코드 보기를 통해 해당 정보를 알아낼 수 있다. 이 취약점은 소스코드 보기 시 타인이 작성한 글 정보가 노출되어 자신이 작성한 글을 수정할 때 노출된 정보를 삽입하니 글 변조 및 삭제가 가능했다는 것. 보안대책과 관련해서 국제정보보안교육센터 측은 “XSS취약점의 대응하기 위해서는 신뢰할 수 없는 데이터가 포함될 수 있는 body, attribute, 자바스크립트, CSS, URL 등 HTML 기반데이터 전체를 올바르게 제한해야 한다”며, “또한 인증우회 취약점의 경우 소스코드 보기 시 중요한 정보를 반드시 삭제하며, 인증 후 접속할 수 있는 페이지의 경우 해당 페이지 주소를 직접 입력해 들어가지 못하도록 페이지 각각에 대해 인증을 위한 세션관리를 해야 하며, 접근제어가 필요한 모든 페이지에 로그인 및 권한 체크 등의 통제수단을 마련해야 한다”고 전했다. 한편 이번에 발견된 취약점은 지난 1월 말 해당사이트 담당자에게 전달된 상태이며, 현재 보안조치가 완료됐거나 진행 중인 상황이다. [김태형 기자(boan@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|||||
 |
