시스템 소스파일·백업파일 등 민감한 파일 빼낼 수 있어

[보안뉴스 김태형] 문학, 인문, 사회, 컴퓨터 등의 중고도서를 판매하고 매입하는 인터넷 중고도서 오픈마켓 북존(BOOKZON)에서 XSS 공격 및 파일 다운로드(File Download) 취약점이 발견되어 이용자들의 주의가 필요하다.

국제정보보안교육센터(i2sec) 20기 수강생 김승현 군은 “북존 사이트에서 XSS 공격 취약점 및 파일 다운로드 취약점이 발견됐다”고 설명했다. XSS 취약점은 스크립트를 삽입해 웹 어플리케이션에서 순수하게 제공되는 동작 외에 부정적으로 일어나는 취약점이며, 파일 다운로드 취약점은 상위 디렉터리를 요청해 시스템 파일 및 웹 소스 파일을 전송 받을 수 있는 취약점이다.

XSS 취약점의 경우 화이트리스트 방식으로 안전한 태그만 허용하는 것으로 보안을 강화할 수 있고 사용자들은 팝업 차단 설정을 생활화해야 한다.

또한 파일 다운로드 취약점의 경우에는 시스템 소스파일과 백업파일 등 민감한 파일을 다운로드 할 수 있을 뿐만 아니라, 2차 3차 공격으로 이어질 수 있다. 이에 상대경로를 통해 이동할 수 있는 ../ 와 같은 특수한 문자를 필터링을 해주고, 정기적보안점검이 이루어져야 한다.

해당 취약점은 현재 사이트 담당자에게 전달된 상태다. 북존 측에서는 “북존의 웹사이트는 외부 업체에서 관리하고 있어 해당 사항에 대해 담당자에게 적절한 점검과 조치를 취하도록 했다”고 밝혔다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>