유명 공개 웹 어플리케이션 게시판 킴스큐(KimsQ)에서 DB정보 탈취가 가능한 취약점이 발견돼 사용자의 주의가 요구된다. 킴스큐는 전문기술이 없는 사용자도 간단한 조작으로 쉽게 웹사이트를 구축하고 운영할 수 있게 해 주는 도구로써 많은 유저들이 이용하고 있는 프레임워크이기 때문에 더욱 보안에 주의를 기울여야 한다.
 
해당 취약점을 발견하고 데일리시큐에 상세한 취약점 내용과 함께 제보를 해 온 박성진 해커팩토리(HackerFactory) 운영자는 “국내 유명 공개 웹 어플리케이션 게시판인 킴스큐(KimsQ) 1.2.2 이하 버전에서 DB 정보 탈취가 가능한 Blind SQL injection 취약점이 발견됐다”며 “이 취약점은 웹 브라우저 URL 주소 또는 조회기능에서 취약점이 발생되었으며, 데이터베이스(DB)와 연동된 웹 어플리케이션에서 입력된 데이터에 대한 유효성 검증을 하지 않는 경우, SQL 문으로 해석될 수 있도록 조작한 입력값에 DB 정보를 열람하거나 시스템 변조, 악성파일 생성이 가능하다”고 설명했다.
 
해커팩토리 실무형 워게임을 운영중인 염문식, 박성진, 임채윤, 하동민씨 등은 “해당 취약점에 대한 긴급 보안 패치가 적용된 킴스큐를 사용하거나, 사용자로부터 입력받는 파라미터에 대해 적절한 필터링 또는 데이터에 대한 유효성 검증을 통한 방법으로 해결이 가능하다”고 권고했다.  
 
해커팩토리 측은 킴스큐 배포 사이트인 레드블럭(redblock) 및 한국인터넷진흥원(KISA)에도 관련 정보를 제공했다고 밝혔다.
 
박성진 운영자는 “킴스큐와 같은 공개용 게시판은 불특정 다수의 인원이 사용하는 만큼 취약점에 노출될 경우 정보유출의 위험이 크기 때문에 게시판 개발자는 소스코드 안전진단이나 행정자치부에서 제공하는 소프트웨어 개발보안(시큐어코딩)관련 가이드 등을 이용해 취약점을 사전 예방하는 것이 중요하다”고 말했다.
 
해커팩토리(www.hackerfactory.co.kr)는 실무자들로 구성된 보안연구 동호회로 홈페이지를 통해 실무형 웹 워게임 및 연구자료를 제공하고 있다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com