국내 PHP기반 공개 웹 게시판인 익스프레스 엔진에서 웹쉘코드 삽입(Code Injection) 취약점이 발견됐다.  
 
이번 취약점을 발견하고 KISA와 데일리시큐에 제보한 ‘Black falcon’팀은 “영향을 받는 소프트웨어는 익스프레스 엔진 1.5.4 및 이전 버전으로 취약한 버전을 사용하고 있을 경우, 홈페이지 해킹에 의한 변조, 웹서버 원격제어, 데이터베이스 정보 유출 등의 피해를 입을 수 있으므로 웹 관리자의 빠른 대응 조치가 필요하다”고 강조했다.

 
이 팀 소속 장경칩씨(인포섹 관제사업본부 차장)는 “기존 익스프레스 엔진(1.5.4.3 및 이전) 사용자는 업데이트가 적용된 상위 버전(1.7.3.2 이상)으로 업그레이드 하고 패치 작업 이전 원본 파일은 백업이 필요하다”며 “원본 파일 백업의 경우 소스 수정으로 인한 프로그램 기능 영향도 평가 및 문제 발생 시 복구를 위해 꼭 필요하다”고 권고했다.
 
그는 취약점에 대한 “해당 취약점은 기존에 나온 취약점과 비숫한 패턴의 취약점으로 제로보드 XE에서 인자값을 넘길 때 데이터를 조작해 웹셀을 생성하는 공격 형태”라고 설명했다.
 
현재 보안패치가 나온 상태다. 익스프레스 엔진을 새로 설치하는 사용자의 경우 반드시 보안패치가 적용된 최신버전을 설치해야 한다.
(-패치: www.xpressengine.com/index.php)
 
그는 “KISA를 통해서 개발자에게 알려준 상태다. 현재 제로보드는 구조적으로  굉장히 많은 취약점이 내포 되어 있다. 사용자로부터 인자값을 받을 때 보안성 검토가 요구된다”며 “공격이 성공할 경우에 해당 서버를 활용해 내부망안에 있는 모든 pc를 쉽게 공격할 수 있으므로, 신속히 패치를 적용하여 잠재된 위협을 제거하여야 한다”고 당부했다
 
‘Black falcon’팀은 오래전부터 언더에서 활동 해왔으며 순수히 지식 탐구가 주목적이라고 한다. 팀 구성원들은 게임 개발자, 네트워크 개발자, 포렌식 전문가, 하드웨어 전문가, 암호학 전문가, 국문학도, 영문학도 등 다양한 인원이 모인 팀이며, 얼마전 로펌의 법률전문가도 같이 참여하고 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com