NHN(대표 김상헌)이 운영하는 포털 네이버에서 플래시를 이용하면 개인의 ID를 식별할 수 있는 문제가 발견되었다. 이 취약점은 최종근(만수고등학교 2학년)군이 발견해 네이버와 데일리시큐에 제보한 내용이다.
 
최군은 “네이버 해피빈 서비스의 클럽 서비스 보내기 (happybean.naver.com/my/MyClubMessageForm.nhn?mode=my)를 이용해 swf 파일을 확장자만 바꾼 png 파일로 업로드 한 후, 업로드 된 파일의 주소 중 도메인 부분을 naver.net에서 naver.com으로 바꾼 다음 업로드하면 네이버의 각종 페이지를 파싱할 수 있어 유저 식별, 개인정보유출 등 보안위협을 야기할 수 있다”고 설명했다.
 
제보자가 올린 플래시는 단순 아이디만 출력되는 플래시였지만 만약 네이버에 로그인 한 상태라면 로그인 한 아이디가 출력되는 상황이다.
 
그는 “만약에 악의적인 목적을 가진 공격자가 특정 게시글에 악성 플래시를 삽입한 경우 가입 카페 확인, 메일 확인, 블로그 소식 확인, 개인의 게시글 조회 실태, 및 관심도를 측정할 수 있어서 사생활 침해 및 스팸 메일의 표적이 될 수 있다”고 밝히고 “또한 map.naver.com 페이지를 파싱해서 이용자가 어디에 사는지 대략적으로 알아낼 수 있다”고 주의를 당부했다.
 
한편 네이버 메인 페이지에는 크로스 도메인 정책(www.naver.com/crossdomain.xml) 파일에서 naver.net 도메인을 허용해 블로그나 카페에 올린 swf 파일에서 유저의 닉네임이나 아이디를 식별할 수 있는 취약점도 존재하는 것으로 드러났다.
 
최군은 “크로스 도메인 정책이란 플래시 등의 외부 플러그인의 도메인 간 접근을 명시해 놓은 것을 말한다. 네이버 메인 페이지(www.naver.com/crossdomain.xml)에 보면 naver.net 도메인을 허용해 놓은 것을 볼 수가 있는데 이는 블로그나 카페에 업로드하는 서버의 도메인과 일치함으로 이 페이지를 불러올 수 있다”며 “그리고 해피빈 사이트에서 업로드하면 naver.com으로 업로드가 가능한 문제가 있는데 이는 더욱 많은 페이지를 불러올 수 있어서 더욱 치명적”이라고 밝혔다.
 
다행히 네이버 측에서 블로그 관리 페이지는 막아 놓은 상태다. 하지만 위에서 언급된 취약점들에 대해 25일 네이버 측에 문의했지만 해당 사항에 대한 의견과 패치 여부에 대해서는 답을 주지 않은 상황이다. 네이버 측의 신속한 패치가 이루어져야 할 것이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com