홈페이지용 전자 게시판 소프트웨어 그누보드 4.34.30 최신 버전에서 스팸 방지 우회와 글쓰기 30초 제한 우회가 가능한 취약점이 발견됐다. 해당 취약점은 중고생 보안팀 TeamWeb(김지수, 오지훈)이 발견했으며 두 학생이 공동 분석한 결과 스팸 방지 코드와 글쓴 후 30초 동안 작성 불가가 간단하게 우회되는 취약점을 발견했다.
 
해당 취약점을 발견한 TeamWeb팀은 “최근 그누보드 최신버전을 대상으로 테스트를 했으며 5월 30일 그누보드 측에 해당 취약점을 통보했다”고 말했다.
 
스팸 방지 우회 취약점에 대해서 “그누보드는 소스가 공개되어 있어서 세션이 어디에 저장되는지 알 수 있다. 그리고 스팸 방지 코드를 암호화하지 않고 세션에 저장하기 때문에 세션이 저장된 파일을 열면 스팸 방지 코드가 그대로 나와있어서 그누보드의 스팸 방지 코드를 우회할 수 있다”고 설명했다.
 
글쓰기 30초 제한 우회 취약점에 대해서는 “글쓴 후 세션에 $_SESSION["ss_datetime"]에 시간을 지정하게 된다. 하지만 세션에 저장하기 때문에 간단히 로그아웃 후 로그인하면 30초 제한 없이 계속 글이나 댓글을 등록할 수 있다”며 “이를 악용하면 자동으로 회원가입후 게시판 주소 수집과 모든 게시글에 광고 댓글을 작성하는 로봇이 간단히 만들어질 수 있는 상황이다. 이미 존재하고 있을 것으로 예상한다”고 밝혔다.
 
그렇다면 이 취약점을 패치하기 위해 그누보드 측은 어떤 조치를 취해야 할까. TeamWeb팀은 “우선 스팸 방지 우회를 막기 위해서는 스팸 방지 코드를 MD5, 해쉬 등을 이용해서 알아 볼 수 없게 만든 후 세션에 저장해야 된다. 글쓰기 30초 제한 우회를 막기 위해서는 세션을 이용하지 말고 DB을 이용해서 글 쓴 시간과 아이피을 저장해 로그아웃해도 그 값이 저장되게 해야 될 것”이라고 조언했다.
 
해당 취약점을 악용하면 공격자는 몇 분만에 모든 게시판의 게시글에 광고 댓글을 남길 수가 있어 스팸이나 악성코드 유포에 악용될 수 있다.
 
현재 그누보드에서는 한번에 여러 개의 댓글을 삭제할 수 있는 기능이 없다. mysql과 그누보드 테이블 구조 등을 알고 있으면 간단히 광고 댓글 작성자의 아이피나 아이디를 이용해 한번에 광고 댓글을 삭제할 수 있지만 이것을 잘 모르는 사람들은 게시물 하나하나 들어가서 광고 댓글을 지워야 하는 문제가 발생하는 것이다.
 
게시물이 몇 만건 정도 되면 관리자가 수작업으로 하나하나 삭제하는 것은 무리다. 결국은 광고 댓글 삭제를 포기할 수 밖에 없게 된다.
 
중고생 보안팀 TeamWeb은 2011년 7월 달에 평소 보안에 관심있던 팀장 오지훈과 김지수, 한호정 등이 모여 만든 팀이다. 팀 맴버 페이지를 개설해 공동으로 사이트 취약점 검사 등을 하고 있다고 한다.
 
매달 주제를 정해 그 주제에 대해 조사한 다음 알아낸 것을 메신저나 팀 맴버 페이지를 통해 공유하고 토론하는 형식으로 운영되고 있다.
 
TeamWeb은 지금까지 hosting.ohs**n.com, nf****.com 웹호스팅 사이트에서 몇 가지 취약점을 발견했고 gomdi**.com, filet**.com, hidi**.co.kr, shar****.co.kr 등 웹하드 취약점을 발견해 몇몇 사이트에 취약점을 통보해 준바 있다.
 
이번 취약점은 오지훈, 김지수 맴버가 함께 그누보드4 소스를 분석하면서 발견하게 되었다고 한다.
[데일리시큐=길민권 기자]