테크노트 7.5 버전에서 XSS 취약점 및 쿠키 인증 취약점이 발견됐다. 이용자들의 각별한 주의가 요구된다.
 
해당 취약점을 발견한 국제정보보안교육센터(i2sec) 27기 수강생 안홍기 군은 “XSS 취약점의 경우 사용자가 주소 항목 부분에 스크립트 구문을 삽입해 보니 공격이 이루어졌다. 해당 취약점에 대한 공격으로 클라이언트의 쿠키를 탈취할 수 있을 뿐만 아니라 CSRF 공격에도 이용될 수 있고 클라이언트의 PC에 악성코드를 설치시킬 수 있다”고 경고했다.

 
또 “다른 취약점으로는 쿠키인증 취약점이 발견되었다. 세션 ID를 미리 고정해놓은 상태(PHPSESSID=abc)에서 로그인 할 경우 로그인 한 사용자의 세션은 abc로 저장된다. 이러한 특성을 이용해 공격자는 관리자 PC에서 로그인 전의 관리자 세션 ID를 미리 설정해 놓고 그 상태로 관리자가 로그인할 경우 관리자의 세션은 미리 설정한 ID로 저장된다”며 “공격자는 다른 PC에서 대기하고 있다가 미리 설정해 둔 세션 ID를 이용하여 관리자의 권한을 획득할 수 있다”고 설명했다.
 
그리고 관리자 권한을 획득해 포인트 변경 등도 가능하며, 추가적으로 게시판을 수정해 업로드 권한 부여, 업로드 제한파일 수정 등을 통해 웹셸을 실행하거나 서버의 권한을 완전히 장악할 수 있는 큰 위험이 발생할 수 있다.
 
 
이번 XSS취약점의 경우 HTML 화이트리스트 방식으로 공격성이 짙은 해당 태그를 필터링 해야 하며, 사용자들은 보안 패치를 항상 최신 버전으로 업데이트를 하는 것이 중요하다. 또한 쿠키인증 취약점의 경우 쿠키 저장 시 암호화 또는 중요정보는 쿠키에 저장하지 말아야 하며, 보안에 취약한 쿠키방식 대신 세션 방식을 사용해야 한다.
 
한편 해당 취약점들은 현재 담당자에게 전달됐으며 관련 보안 패치가 진행중이다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com