2024-03-29 16:35 (금)
네이버 메일 XSS 취약점 발견!...이준형
상태바
네이버 메일 XSS 취약점 발견!...이준형
  • 길민권
  • 승인 2012.04.24 22:18
이 기사를 공유합니다

네이버측에 4월 15일 제보…패치할 수 있도록 정보제공
보안프로젝트 디지털 포렌식 PM으로 활동…건양대 정보보호학과 재학중
지난 4월 15일 건양대학교 정보보호학과 2학년 이준형씨는 네이버 메일의 XSS 취약점을 네이버측에 제보했다. 네이버측은 이씨의 취약점 제보를 받고 19일 패치를 완료한 상태다. 해커들의 취약점 제보가 기업에 긍정적 도움을 주고 있다는 것을 기업들은 알아야 하고 해커들의 지적을 오픈마인드로 받아 들어야 한다.
 
이준형씨는 현재 보안커뮤니티 ‘보안프로젝트’(www.boanproject.com)에서 디지털 포렌식 PM(MaJ3stY)으로 활동하고 있다.
 
이준형 PM은 해당 취약점에 대해 “정상적인 파일을 첨부할 때 파일 이름을 <img src=1 onerror=alert(cookie.document);>로 변경해 올리게 되면 해당 메일을 읽자마자 스크립트가 호출되게 된다. 이미지의 소스 주소가 올바르지 않아 onerror 옵션이 실행되고 그 옵션에는 스크립트가 지정되어 있어 작동하는 원리”라고 설명했다.
 
그는 “이는 피싱 메일보다 더 위험한 것으로 판단이 된다. 다른 포털의 웹 메일 서비스들도 동일한 코드로 동일한 결과가 발생되었다. 다른 이메일 서비스들은 현재 대부분 패치가 완료된 상태”라고 밝히고 “해커의 입장에서는 제목만 사회공학을 이용해 작성하면 되고 피해자는 메일을 읽으려고 클릭하자마자 공격 당하게 되어 사용자의 주의도 필요하지만 현재로서는 메일 서비스를 제공하는 회사측에서 취약점 패치를 하는 것이 제일 적당한 방법”이라고 설명했다.
 
아래는 네이버 XSS 시연 이미지다. 이씨는 “사실 이번 취약점은 몇 년 전에 발견했으나 그때는 이러한 심각성을 인식하지 못했다”며 “하지만 이번에 다시 연구했을 때 필터 우회 기술을 조금 더 연구해 적용했더니 쿠키탈취나 리디렉션 등의 기술이 모두 되는 것으로 확인 되어 심각성을 인지하고 네이버에 제보한 후 데일리시큐에 사실을 공개하게 됐다”고 말했다.  

 
이씨는 다음이나 네이트측에도 해당 취약점에 대해 제보를 했고 두 포털은 이미 패치가 이루어진상태다. 그는 “군에 있었을 때 익명 메일로 제보했다. 아마 2011년 1월이었을 것이다. 다음은 너무나 쉽게 되었고 네이트도 쉽게 되었는데 네이트는 미리보기 기능으로 인해 네이트온에서 메일함을 클릭만 하면 최신 글이 미리 보여지는 기능이 있어 만약 XSS 스크립트가 적용된 메일을 받은 사용자가 부주의로 메일함만 클릭해도 바로 공격을 당하는 형태였다. 그래서 일단 쉽게 되는 곳부터 익명의 메일로 제보를 했었다. 현재는 모두 패치가 이루어졌다”고 설명했다.
 
야후나 구글은 어떨까. 그는 “야후는 계정이 없어서 따로 테스트 해보지 못했고 구글의 경우는 취약점을 발견했을 당시에 테스트를 수행했었는데 스크립트가 먹혔으나 필터우회가 쉽지 않았다”며 “현재는 스크립트를 적용하기 위한 필터도 가능하지 않은 상태다. 그 사이에 패치가 된 것 같다”고 밝혔다.
 
또 그는 “취약점을 발견 했을 당시 사회 풍토 상 취약점을 쉽사리 밝히기가 힘들어 그대로 묻어두고 입대를 했었다”며 “제가 사용하는 해외 무료메일도 동일한 공격 코드로 공격이 가능했었다. 해외에서 보안을 공부하는 친구들과 이메일을 주고 받을 때 사용하는 email.about.com이라는 곳이 있는데 해당 이메일 서비스도 공격이 가능한 상태였다”고 말했다.  
 
이번에 네이버에 취약점 제보를 했을 때 반응이 궁금했다. 그는 “의외로 빠른 답변에 놀랐고 직접 전화를 받았을 때 한번 더 놀랐다. 학교 수업시간이 꽤 많아 휴대전화의 전원을 꺼 두었었는데 아침에 한번 전화를 하고 오후에 6시정도에 개발팀에서 전화를 해 취약점에 관해 물었다”며 “또 질문하는데 있어 배우려는 자세가 보여 좋았다. 예전에 다른 곳에 취약점을 제보할 때만 해도 알려고 하는 것 보다는 따지는 어조가 더 많았는데 역시 시대가 많이 바뀐 것 같다”고 전했다.
 
이를 보면 포털들은 제보 이후 대략 3~4일 정도 이후에 바로 패치가 이루어지는 것을 알 수 있다. 일반 기업들도 포털이 취약점 제보자에 대해 고마움을 느끼고 성심껏 대하고 최대한 패치를 신속하게 하려는 자세를 배워야 한다.
 
이준형 PM은 “보안 분야에 관심을 가진 것은 고3 때부터지만 공부를 시작한 것은 대학교 1학년때부터였다”며 “강원도에서 태어나 줄곧 강원도에서 살았기 때문에 주위에 보안 분야를 공부하는 사람이나 가르쳐 주는 학원이 없었다. 그래서 책과 구글 검색을 통해서만 공부를 했었다”고 말했다. 그는 건양대학교 정보보호학과 2학년에 재학중이며 따로 해킹팀이나 소속된 곳 없이, 현재는 보안프로젝트 카페에서 디지털 포렌식 PM으로 활동하고 있다.
 
그는 앞으로 “현재 우리나라의 보안기술적인 부분에도 기여하고 싶을 뿐만 아니라 보안의식 또한 선진국만큼 높아지도록 사회 인식 자체를 전환하는데 일조하고 싶다”며 “보안 기술이 아무리 뛰어나도 인적 보안이 뒷받침 되지 않으면 그 기술은 무용지물이 된다고 생각한다. 대부분의 큰 보안사고들을 보면 인적 보안이 사고의 시발점이 되는 경우가 많은 것 같아 이 부분에 기여하고 싶은 마음이다”라고 포부를 밝혔다.
[데일리시큐=길민권 기자]
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★