HTML 태그 필터링 기능의 패치 작업 수행해야...현재 보안조치중 

[보안뉴스 김태형] 설치형 무료 쇼핑몰 솔루션 디엠샵에서 CSRF 취약점이 발견되어 이용자들의 주의가 요구된다. 국제정보보안교육센터(i2sec) 18기 수강생 지민건 군은 “설치형 무료 쇼핑몰 솔루션 디엠샵에서 CSRF 취약점을 발했다”고 설명했다.

CSRF 취약점을 이용해 공격자는 CSRF 공격코드가 삽입되어 있는 타 게시판 게시 글의 링크 주소를 복사한 후, 디엠샵 게시판에 ‘embed’ 태그를 이용해 링크 주소를 삽입할 수 있다. 이 때 hidden=”true”를 이용해 다른 사용자가 글을 열람해도 공격당했는지 알 수 없으며, 사용자의 회원정보를 변경시킬 수도 있다.

이와 관련 국제정보보안교육센터 측은 “이러한 CSRF 공격의 피해는 관리자 패스워드 변경, 타인 글 삭제, 타인 글 변경, 타인의 회원 탈퇴, 관리자 특수한 권한을 이용한 자신의 포인트 조작 등이 가능하다. 즉, CSRF는 해당 피해자의 세션을 이용해야 한다는 점이 포인트로, 만약 로그인하지 않은 상태라면 CSRF는 피해가 없다고 보면 이해가 쉬울 것”이라고 전했다.

이러한 CSRF 취약점에 대응하기 위해서는 모든 FORM/URL에서 요청할 때 임의 토큰을 추가해 요청 시 이 토큰을 검증하고 중요한 페이지는 재인증을 유도해야 하며, HTML 태그 필터링 기능의 패치 작업을 수행해야 한다.

한편 해당 취약점은 사이트 담당자에게 전달된 상태이며, 현재 보안조치가 진행 중이다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>