각종 포럼, CMS, SNS에서 사용되는 무료 이미지 툴, 취약해

[보안뉴스 문가용] 콘텐츠 관리 시스템, 소셜미디어 등에서 자주 사용되는 이미지매직(ImageMagick)이라는 오픈소스 이미지 프로세싱 툴에서 취약점이 새롭게 발견되었다. 이 취약점을 악용하면 공격자가 통제권을 거머쥘 수 있다고 한다. 게다가 해당 취약점의 익스플로잇이 이미 돌아다니고 있어 시급한 패치가 필수다.



이에 미국 CERT는 해당 취약점에 대한 권고사항을 발표했으며, 이미지매직 역시 업데이트를 발표했다(버전 7.0.1-1과 6.9.3-10). 하지만 업체들에 의하면 아직 이 패치들은 완벽하지 않다고 한다. 그래도 다행인 점은 이미지를 활용한 공격이 다른 웹 익스플로잇에 비해 결코 쉽지 않다는 것이라고 전문가들은 설명한다.

“현재 공략이 쉬운 취약점들도 무수히 많이 있는 상태입니다. 굳이 어려운 이미지 익스플로잇을 할 이유가 없어요. 가능성이 극히 낮습니다.” ESET의 보안 전문가인 카메론 캠프(Cameron Camp)의 말이다. “요즘은 해킹이 ‘과시’의 목적으로 잘 활용되지 않기 때문에 어려운 기술보다 쉽고 간단한 해킹 기법들이 많이 활용되기도 합니다.” 게다가 웹 플랫폼에 따라 이미지매직 라이브러리에 콘텐츠를 보내기 전에 필터링을 하는 경우도 있어 치명적인 피해를 면할 수 있는 사이트들도 존재한다.

“하지만 여전히 위험해 처해져 있는 건 사용자들이 미디어를 업로드할 수 있도록 해주는 웹 애플리케이션들입니다. 포럼, 콘텐츠 관리 시스템, 이미지 보드, 여러 소셜 미디어 네트웍스가 여기에 포함되겠죠. 또한 블로그 및 호스팅 플랫폼들에도 이미지매직 플러그인이 많이 사용되는 것으로 아는데요, 대부분은 업로드를 허가하기 전에 사용자 계정을 확인하기 때문에 비교적 괜찮은 편입니다.”

또 다른 보안 전문가인 니콜라이 어미쉬킨(Nikolay Ermishkin) 역시 이미지매직에서 여러 취약점들을 발견해 보고했다. 그 중 하나는 CVE-2016-3716으로 공격자들이 원격에서 피해자의 서버에 코드를 실행시킬 수 있게 해주는 것이었다. 해당 취약점은 파일 이름에 대한 필터링 부족으로 인해 발생되는 것이었다.

현재 보안 전문가들은 이미지매직으로 이미지 파일들을 전송하기 전에 하나하나 확인하는 작업이 필요하다고 권장하고 있다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최
- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)