2024-03-28 20:45 (목)
네이버 블로그 위젯 취약점 발견…악성위젯 확산 우려!
상태바
네이버 블로그 위젯 취약점 발견…악성위젯 확산 우려!
  • 길민권
  • 승인 2012.06.08 07:10
이 기사를 공유합니다

취약점 이용, 상대방 모르게 악성위젯을 블로그에 설치할 수 있어
네이버 블로그 위젯 취약점이 발견됐다. 해당 취약점은 지난 5월 29일 중고생 보안팀 TeamWeb 소속 서해고등학교(교장 조성초) 2학년 김지수 학생이 발견해 네이버에 통보하고 데일리시큐에 제보했다.
 
해당 취약점에 대해 김지수 학생은 아래와 같이 설명했다.
 
다음 위젯팩토리 위젯만들기에서 악성코드를 넣은 위젯을 만든 다음 등록하기가 아닌 저장하기를 누른다. 이때는 정식인증 절차를 거치지 않고 혼자 사용할 수 있도록 등록되며 네이버 블로그에는 등록할 수 없다.
 
저장이 되면 퍼가기 소스보기를 해서 다음과 같은 주소를 알아낸다.
http://widgetcfs1.daum.net/xml/35/widget/2012/05/30/01/19/4fc4f70e70e79.xml
 
그리고 나서 아래의 양식대로 주소를 만든다.
http://bridge.blog.naver.com/external/ScrapWidget.nhn?sourceType=widgetbank&patternName=widgetbank_1&sourceKey=1700&idCode=url%3Dhttp%3A%2F%2Fwidgetcfs1.daum.net%2Fxml%2F35%2Fwidget%2F2012%2F05%2F30%2F01%2F19%2F4fc4f70e70e79.xml%26%26width%3D1%
(이하 생략)
 
굵게 표시한 부분이 위젯팩토리 저장함의 퍼가기소스보기를 해서 얻은 주소를 URL인코딩한 것이다.
 
위 주소는 '다음위젯뱅크'에 정식 등록된 위젯을 '네이버에 퍼가기'했을 때 나오는 주소다. 굵게 표시한 부분이 위젯의 정보가 담기는 XML인데 따로 인증 절차도 없이 '저장하기'로 등록된 위젯을 아무나 퍼갈 수 있게 된다.
 
게다가 '&title='뒤쪽 부분을 수정하면 네이버위젯에 담기는 위젯명이 되는데 '블로그 정보'나 'RSS/ATOM'등과 같이 기본적으로 깔리는 네이버위젯명을 사칭해 등록할 경우 피해자는 쉽게 알아낼 수 없다.
 
그리고 아래 주소를 들어가면 네이버에 로그인되어 있을 경우 재확인 문구가 없이 바로 블로그에 설치되게 된다.
 
http://bridge.blog.naver.com/external/ScrapWidget.nhn?sourceType=widgetbank&patternName=widgetbank_1&sourceKey=1700&idCode=url%3Dhttp%3A%2F%2Fwidgetcfs1.daum.net%2Fxml%2F35%2Fwidget%2F2012%2F05%2F30%2F01%2F19%2F4fc4f70e70e79.xml%26%26width%3D1%26height(이하 생략)
 
이점을 또다시 악용해 어떤 홈페이지에 iframe 등의 태그로 위 주소를 넣고 숨겨서 만들어 놓으면 그 홈페이지를 접속하는 사람은 눈치채지 못하고 본인의 의사와 상관없이 모르는 사이에 악성위젯이 블로그에 설치되게 된다.
 
이런 취약점이 발생하게 된 원인은 무엇일까?
 
김지수 학생은 “우선 네이버 측에서 '정말로 위젯을 퍼가시겠습니까?'등의 재확인 문구를 넣지 않았기 때문이다. 또 네이버 블로그와 다음 위젯뱅크퍼가기 간에 주고 받을 보안키 등을 따로 지정해 놓지 않았기 때문이다. 그리고 네이버 블로그에서 'Referer'해더검사를 하지 않은 것이 원인”이라고 지적했다.
 
네이버 측이 이 취약점을 해결하기 위해서는 어떤 조치를 취해야 할까. 이에 대해 김 군은 “정말로 위젯을 퍼가시겠습니까?등의 재확인 문구를 넣어야 하고 네이버 블로그와 다음 위젯뱅크퍼가기 간에 주고 받을 보안키 등을 만들어 위 문제의 주소를 쉽게 만들 수 없도록 해야 한다”고 밝히고 또 “네이버 블로그에서 'Referer' 해더검사를 해서 다음 위젯뱅크가 아닐 경우 등록 및 접속을 막아야 한다”고 조언했다.
 
이 취약점을 이용해 공격자들은 어떤 공격들을 할 수 있을까?
 
이에 대해 김군은 “무한적으로 메세지, 팝업창을 띄우거나 큰 소리를 틀거나 혐오사이트를 띄워 정상적인 블로그 기능을 할 수 없도록 할 수 있다. 또 문제의 주소를 접속하도록 위젯코드에 다시 넣어 악성위젯 보유자를 늘려갈 수 있다. 그리고 시도해보지 않아 모르겠지만 XSS기술을 이용하여 방문자의 네이버로그인 세션값을 탈취(세션하이재킹 기술)해 로그인 인증없이 타인이 해당 아이디로 로그인을 할 수 있게 된다”고 말했다.
 
또 “취약점 설명에서도 언급했듯이 사람들의 유입이 많은 사이트에 <iframe>태그로 문제의 주소를 접속하도록 하고 iframe영역을 숨긴다. 그러면 방문자는 자신도 모르게 네이버 블로그에 위젯이 설치되게 된다”고 설명했다.
 
이 취약점으로 인해 이용자들은 크래커에게 계정탈취, 정상적인 블로그 운영방해, 정상적인 블로그 운영이 안될 수 있다는 것도 덧붙였다.
 
김군은 또 “이미 이 취약점으로 피해를 본 사례가 많이 발생하고 있다. 혹시라도 블로그 관리에서 악성위젯이 나도 모르게 설치되어 있지 않은지 http://blog.naver.com/make_obey/50142146158 이 링크처럼 확인하라고 알려주길 바란다”고 밝혔다.
 
김지수 학행은 “초등학생 6학년 때부터 취미로 프로그래밍공부를 시작했고 지난해 12월부터 홈페이지 제작공부를 시작했다. 올해초 직접 만든 홈페이지에 보안문제가 있다는 것을 발견하고 공부를 시작하게 됐다”고 말한다.  
 
그는 “여러 워게임(모의해킹게임)사이트에서 문제를 풀어보며 기초를 다지고 있고 중고생 보안팀TeamWeb 맴버들과 함께 알아낸 것들을 서로 공유하며 주제를 정해 공부한 것을 서로 보고하는 식으로 배워가고 있다”고 덧붙였다.
 
현재 보안커뮤니티 HFFL에서 활동 중인 김군은 정보처리기능사 자격증을 준비하고 있으며 장래희망은 프로그래밍부문 파워블로그를 운영하는 프로그래머가 되고 싶다고 밝혔다. 현재 김 군은 alien.wo.tc 블로그를 운영하고 있다.

더불어 홈페이지, 보안, 게임개발, 앱개발 등 여러 프로그래밍 분야를 잘하는 프로그래머가 되고싶다고 포부를 밝혔다. 또 서해고 IT청소년영재봉사단으로 활동하고 있으며, 멘토로는 김지수학생과 함께 보안소프트웨어 분야를 지도 개발하고 있는 지도교사  조재완(서해고 교육정보부장) 선생의 지도를 받고 있다. 조재완 선생은 2000년부터 현재까지 KISA지원 COM EDU Security Lab을 운영하고 있는 보안전문가다.

[데일리시큐=길민권 기자]
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★