국내 웹애플리케이션 게시판 'XSS 취약점' 발견

[김국배기자] 국내 공개 웹 애플리케이션 게시판인 그누보드(Gnuboard)에서 XSS 취약점이 발견돼 사용자의 주의가 요구된다.

5일 윈스테크넷(대표 김대연)은 그누보드에서 악성코드 유포와 공격이 가능한 XSS(Cross Site Script) 취약점을 발견했다고 밝혔다.

윈스테크넷 침해사고분석 대응조직은 이 취약점을 발견하고 한국정보보호진흥원 인터넷침해대응센터(KRCERT)를 통해 그누보드 배포사이트인 에스아이알소프트에 관련 정보를 제공했다.

이번에 발견된 취약점은 게시판에 업로드되는 콘텐츠를 필터링하는 'conv_content()' 함수 오류로 인해 공격자가 업로드하는 스크립트가 사용자 브라우저에서 실행되도록 허용한다.

XSS 공격은 SQL 인젝션 공격과 함께 가장 위험성이 높은 취약점으로 국제웹보안표준기구 OWASP에서 경고하는 10대 웹 보안취약점에서 수위를 차지하는 방식이다.

이 취약점에 노출될 경우 공격자가 필터링 정책을 우회하는 악의적인 스크립트를 업로드한다. 이에 따라 웹 페이지를 열람하는 사용자 브라우저에서 임의의 코드가 실행되도록 하거나 악성코드 유포 및 사용자 세션 정보 탈취 등의 피해가 발생할 수 있다.

윈스테크넷 침해사고대응센터장 손동식 상무는 "그누보드와 같은 공개용 게시판은 이용하는 사용자가 많은 만큼 취약점으로 인한 영향이 매우 크다"며 "사용자는 최신 보안패치의 적용 및 게시판 콘텐츠의 점검 등 지속적 관리를 수행해 취약점 공격에 대응해야 한다"고 말했다.