국제정보보안교육센터(부산)는 29일 해외 주요 어플리케이션들에 대한 취약점들을 발표하고 해당 어플리케이션을 제공하거나 사용하는 기업, 개인들의 신속한 패치를 당부했다. 이번에 발견된 취약점들은 국제정보보안교육센터의 교육 프로젝트인 “0-day Search” 과정중 수강생들이 발견한 취약점들로 보안권고문을 배포한 것으로 알려졌다.
 
센터 관계자는 “이번에 발견된 취약점들은 모두 4가지이며 신속히 패치가 이루어진 곳도 있는 반면, 2주가 지난 후에도 패치가 이루어지지 않은 제공처가 있기 때문에 심각성을 알리고 사용자들의 주의를 당부하는 취지”라고 밝혔다.

 
이번에 발견된 취약점은 김건범씨가 발견한 ‘MyTube MyBB Plugin 1.0’에서의 ‘Stored XSS’ 취약점, 그리고 이충언씨가 발견한 ‘Free hosting manager 2.0.2’에서의 ‘Stored XSS’ 취약점, 마지막으로 김지훈씨가 발견한 ‘myUPB 2.2.7’에서의 ‘Stored XSS’ 취약점 등이다.
 
해당 취약점들은 XSS(크로스사이트스크립팅)라는 공격기법으로 사용자들의 세션갈취, CSRF, 피싱을 통해 보안과 관련된 심각한 악영향을 끼치는 취약점들이다.  
 
센터 관계자는 “취약점들에 대한 대응방안으로는 개발사측에서는 소스코드 보안패치를 진행해야하며 사용자들은 팝업차단의 생활화를 통해 보안을 할 수 있다”고 조언했다.
 
국제정보보안교육센터 연구소장 박용운 컨설팅 이사는 “저희 교육센터는 기존의 강사라는 개념을 없애버렸다”며 “실무자들이 교육을 하며 교육 외의 시간은 실무와 같이 업무를 하고 있다. 수강생들이 실무를 경험할 수 있도록 Wargame(워게임) 및 10가지 이상의 실무 프로젝트를 통해 훈련을 하기 때문에 이번 취약점 발견과 같은 결과가 나올 수 있었다고 생각한다”고 밝혔다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com