온라인 쇼핑하려다...악의적 사이트로 이동될 수 있다?

위즈몰 6.6.4, 검증되지 않은 리다이렉트 취약점 등 발견

[보안뉴스 김태형] 국내 쇼핑몰 솔루션 위즈몰 6.6.4 버전으로 게시판을 구축해 취약점 테스트를 진행한 결과, 검증되지 않은 리다이렉트 취약점이 발견됐다. 또 6.6.3 버전에서는 접근제어 취약점이 발견된 것으로 나타났다.

국제정보보안교육센터(i2sec) 19기 수강생 공지헌 군은 “게시판에서 HTML 사용을 체크한 후 href 태그를 이용해 공격이 가능하며, 임의의 URL로 이동시켜 사용자 동의 없이 악성코드가 다운되기도 한다”고 설명했다.

검증되지 않은 이번 취약점은 웹 애플리케이션에서 다른 페이지로 사용자를 이동시킬 때 신뢰성 없는 데이터를 사용하고 외부 입력값이 링크에 사용되어 이 링크를 이용해 악의적인 사이트로 리다이렉트 시키는 취약점이다. 해당 취약점은 현재 사이트의 담당자에게 전달됐으며 보안 패치가 이루어진 상태다.

▲ 리다이렉트 공격 결과

또 국제정보보안교육센터(i2sec) 19기 수강생 현재익 군은 “사이트의 회사소개 콘텐츠 부분을 href 태그를 이용해 리다이렉트 공격이 가능하다”면서 “이를 이용하면 임의의 URL로 이동시켜 사용자 동의 없이 악성코드가 다운될 수도 있다”고 설명했다. 해당 취약점은 현재 사이트의 담당자에게 전달되어 조치가 이루어질 예정이다.

이에 대해 국제정보보안교육센터 측은 “리다이렉트 취약점에 대응하기 위해서는 사용자들이 해당 URL로 이동할 때 어떤 외부 경로로 이동되는지 주의해야 하며 팝업 창을 이용해 동의 없이 다운로드 되지 않도록 한다”면서 “웹 애플리케이션에서 특정 파라미터를 통해 리다이렉트될 때 화이트리스트 기반으로 악의적인 사이트로 리다이렉트 되는지 검증하는 과정을 거쳐야 한다”고 전했다.

아울러 위즈몰 6.6.3버전에서는 관리자 페이지 접근제어 취약점이 발견됐다. 이번 취약점을 발견한 국제정보보안교육센터(i2sec) 19기 수강생 염민룡, 정재훈 군은 “오픈 소스를 이용해 db_create.php를 통해 관리자 페이지에 접근이 가능하며 관리자 계정 또한 기본적인 디폴트값으로 설정되어 있어 접속할 수 있다”고 설명했다.

또한 그는 “이를 이용해 DB 데이터가 출력되며, 웹 관리자의 아이디와 비번 및 회원의 계정과 개인정보들이 노출된다”고 말했다. 해당 취약점은 현재 담당자에게 전달되었으며 보안 패치가 이루어진 상태다.

▲ 관리자 페이지 노출

이번 취약점과 관련해 국제정보보안교육센터 측은 “이번 취약점은 외부에 노출된 관리자 페이지를 통해서 무차별 대입공격, SQL Injection 등의 공격에 피해를 입을 수 있다. 이러한 취약점은 관리자 페이지가 외부에 노출되지 않도록 해야 하며, 웹 서버 및 웹 애플리케이션에서 특정 URL에 접근할 수 있는 사용자 IP를 제한하는 방법을 사용할 수 있다”고 전했다.

[김태형 기자(boan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)