부산 정보보안전문가 교육생, XSS와 CSRF 제로데이 발견
[보안뉴스 오병민] 제로보드와 더불어 국내에서 많이 사용하는 공개 게시판 프로그램인 ‘그누보드(gnuboard)’ 최신버전에서 제로데이 취약점이 발견돼 사용자들의 주의가 요구되고 있다. 발견된 취약점은 XSS와 CSRF 취약점으로, 현재 그누보드 제작자는 해당 취약점에 대한 보안패치를 준비하고 있는 것으로 전해지고 있다.

XSS(Cross Site Scripting)는 동적 생성 웹 페이지에 악의적인 스크립트를 넣어, 사용자가 해당 페이지를 열람할 때 삽입한 스크립트를 실행하도록 함으로써 사용자의 정보를 탈취하는 웹 해킹 기법이다.
 

 ▲그누보드에서 XSS 공격 실행 화면 ⓒi2Sec

XSS 공격이 실행되면, 일반인의 경우 무심코 지나가버리거나, 스크립트를 보고도 지나가는 경우가 많다. 이는 관리자들의 기본적인 보안교육의 부재로 시작되기 때문이다.

위와 같이 탈취한 관리자의 세션을 악용할 경우 문제는 심각해진다. 관리자만 가지고 있는 특수한 모든 기능들을 공격자가 가진다는 것이다.

CSRF(Cross Site Response Forgery) 취약점은 크로스-사이트 스크립팅(XSS)과 유사한 점이 있지만, XSS의 경우에는 악성 스크립트를 웹사이트에 삽입할 필요가 있는 반면, CSRF 공격의 경우 사이트가 신뢰하는 사용자를 통해 공격자가 원하는 명령을 사이트로 전송하도록 하는 기법이다.
 

 ▲CSRF 관리자 패스워드 변경 上, CSRF 포인트 조작 화면 下 ⓒi2Sec

그누보드는 관리자의 패스워드 수정시 기존의 패스워드를 확인하지 않아, CSRF 공격을 통해 크래커는 관리자의 패스워드를 원하는 값으로 변경이 가능한 것으로 파악됐다.

또한 CSRF 포인트 조작도 가능한 것으로 파악됐다. 이런 취약점은 글을 읽거나 상대방의 첨부문서를 다운로드시 포인트를 사용해야 되는 어플리케이션에 큰 피해를 입힐 수 있다. 한 예로, 쇼핑몰 포인트는 상품을 구매할 수 있는 현금과 1:1 대응이 될 정도로 매우 중요한 요소라고 볼 수 있다. 따라서 CSRF 공격을 통해 포인트를 임의로 수정할 경우, 해당 쇼핑몰에 금전적인 피해를 입힐 수도 있다.

이 같은 취약점은 부산에 위치한 정보보호 전문 교육기관 ‘국제정보보안센터(이하 i2Sec)’에서 교육 중인 한 수강생이 발견한 것으로 알려졌다. 취약점을 발견한 강성호 수강생은 i2Sec 교육팀과 함께  취약점을 정리하고 대응방안권고 보고서를 작성해 그누보드 관리자에게 전달한 것으로 전해졌다.

국제정보보안센터는 부산에 위치하고 있으며 ‘전문적인 정보보호 고급인력의 양성’을 목표로 보안컨설팅, 보안관제, 보안교육을 진행하는 정보보안 전문기업이다.
[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>