[긴급]제로보드 XE 최신버전, 보안취약점 발견...XSS 공격 주의!

나우콤 취약점 발견, 개발자 커뮤니티 등 국내외 관련기관에 전달

국내 공공기관에서 가장 많이 사용하고 있는 공개 웹 게시판 및 사이트 제작 소프트웨어의 취약점이 발견돼 주의가 요구된다.

네트워크 정보보안 전문기업 나우콤(대표 김대연)은 17일 익스프레스엔진(Xpress Engine, 구 제로보드 및 제로보드XE, 이하XE)의 최신버전인 XE Core 1.4.0.9에서 XSS(Cross-Site Scripting) 공격이 가능한 취약점을 발견했다며 주의를 당부했다.

이 취약점은 현재 개발중인 HTML5 버전에서 제공하는 이벤트 태그를 차단하지 않아 발생하며, 대부분의 웹 브라우저에서 이미 HTML5를 전부 또는 부분 지원하고 있어 관심이 필요하다.

▲제로보드 홈페이지에 보안패치가 공개됐다. ⓒ보안뉴스

XE를 이용한 게시판이나 웹 사이트는 웹 페이지에 클라이언트 사이드 스크립트를 삽입하여 사이트 관리자가 아닌 다른 사용자가 이를 실행하게 허용하는 XSS 공격에 노출될 수 있으며, 공격대상 웹사이트에 삽입한 스크립트를 이용하여 다른 웹사이트로 접근하는 것도 가능하다.

특히 XSS 공격은 SQL Injection 공격과 함께 인터넷 상에서 가장 많이 이뤄지는 취약점으로 국제 오픈 웹보안 프로젝트 OWASP에서 경고하는 10대 웹 보안취약점에서 수위를 차지한다.

나우콤은 자체 침해사고대응조직인 ‘나우서트(NOWCERT)’를 통해 이 취약점을 조기에 발견하여 국가정보원, 해외 유명 보안사이트인 시큐니아, 개발자 커뮤니티 등 국내외 관련기관에 전달했다.

또한 자사 온라인 위협예경보서비스 ‘시큐어캐스트(SecureCAST)’에 취약점 정보를 공개하고, 자사 네트워크 및 웹 보안 제품군 ‘스나이퍼(SNIPER)’에서 이 취약점을 이용한 공격을 탐지하고 차단할 수 있도록 탐지 및 차단 시그니처를 개발해 등록을 마쳤다.

최근 앱스토어에 등록된 아이폰 버전의 위협예경보서비스 ‘아이시큐어캐스트(iSecureCAST)’에서도 취약점 정보를 확인할 수 있다.

나우콤 침해사고대응총괄 손동식 이사는 “XE 사용자라면 누구나 이 취약점에 노출되기 때문에 보안제품에 차단 시그니처를 적용하거나 보안버그 패치를 설치해야 XSS 공격을 예방할 수 있다”고 밝혔다.

[오병민 기자(boan4@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)