인기 온라인 게임 ‘서든어택’과 '바람의 나라' 홈페이지에 CSRF 취약점이 발견됐다. 취약점이 발견된 곳은 자유게시판이다.
 
이번 취약점을 발견하고 데일리시큐에 제보한 박병욱(경성대학교 컴퓨터공학부)씨는 “바람의 나라 홈페이지 CSRF 취약점은 해당 업체측에 지난 8월 27일 권고했으며 서든어택 홈페이지 Reflected XSS, CSRF 취약점은 8월 26일 권고했다”며 “바람의 나라와 서든어택 홈페이지 자유게시판 취약점 존재방식이 동일하다. 이런 형태의 게시판 모두에 CSRF 공격이 가능할 것으로 추측된다. 보안조치가 필요하다”고 강조했다.
 
취약점 상세 리포트를 보내온 박씨는 “댓글은 한 번 정도밖에 안 써진다. 거의 동일한 내용으로 다시 글을 쓰면 에러를 발생시키기 때문”이라며 “댓글 등록시 임시 토큰생성, 댓글 입력 시 POST 형식이 아니면 에러를 발생시킨다. 무엇보다 글 등록시 링크와 이미지 부분에 대한 검사가 필요하다”고 조언했다.

 
한편 “서든어택 검색 부분에서 Reflected XSS 취약점이 발견됐다. 스크립트는 파이어폭스만 실행된다. HTML 인코딩으로 보안이 필요해 보인다”고 덧붙였다.
 
데일리시큐는 해당 취약점을 KISA에 전달하고 취약점 패치가 좀더 신속하게 이루어질 수 있도록 할 예정이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com