[보안뉴스 주소형] 야후(Yahoo)가 SSRF 취약점을 드디어 패치 했다. 그런데 일 년이 넘는 시간이 소요됐다. 여기서 SSRF(Server-Side Request Forgery)는 XSPA(Cross-Site Port Attack)라는 이름으로도 알려진 취약점으로 야후의 화상 입출력 장치와 화상 기억 장치 등을 포함하여, 화상 데이터를 효율적으로 처리하는 화상 처리 시스템(Image Processing System)에서 지난해 6월에 미국의 보안연구원인 안드리아 산테시(Andrea Santese)에 의해 발견됐다.

해당 취약점은 위험도 중(medium) 수준으로 공격자가 접속 통제를 우회하여 원격으로 기기 조절까지 가능했다. 위험도가 상(high)에 해당되지는 않지만 패치하기에 일 년이나 걸릴만한 까다로운 취약점도 아니었기에 비판의 목소리가 나오고 있는 모습이다. 게다가 보안전문가들이 야후에게 지속적으로 패치를 촉구했던 것으로 전해졌다.

한편 이와 관련 보다 자세한 기술적인 내용은 여기를 클릭하면 연결되며 일 년 전 해당 취약점에 대해 지난해 최초 발표한 안드리아의 포스팅은 여기를 누르면 확인할 수 있다.

[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>