나우콤(대표 김대연)은 17일 익스프레스엔진(구 제로보드 및 제로보드XE)의 최신버전인 XE 코어 1.4.0.9에서 보안취약점을 발견했다고 발표했다.
XSS(Cross-Site Scripting) 공격이 가능한 이 취약점은 현재 개발중인 HTML5 버전에서 제공하는 이벤트 태그를 차단하지 않아 발생한다. 대부분의 웹 브라우저에서 이미 HTML5를 전부 또는 부분 지원하고 있어 주의가 필요하다.
XE를 이용한 게시판이나 웹 사이트는 웹 페이지에 클라이언트 사이드 스크립트를 삽입해 사이트 관리자가 아닌 다른 사용자가 이를 실행하게 허용하는 XSS 공격에 노출될 수 있다. 공격대상 웹사이트에 삽입한 스크립트를 이용해 다른 웹사이트로 접근하는 것도 가능하다.
특히 XSS 공격은 SQL 인젝션 공격과 함께 인터넷 상에서 가장 많이 이뤄지는 취약점으로 국제웹보안표준기구 OWASP에서 경고하는 10대 웹 보안취약점에서 수위를 차지한다.
나우콤은 자체 침해사고대응조직인 나우서트(NOWCERT)를 통해 이 취약점을 조기에 발견해 국가정보원, 해외 유명 보안사이트인 시큐니아, 개발자 커뮤니티 등 국내외 관련기관에 전달했다.
또한 자사 온라인 위협예경보서비스 '시큐어캐스트'에 취약점 정보를 공개하고, 자사 네트워크 및 웹 보안 제품군 '스나이퍼'에서 이 취약점을 이용한 공격을 탐지하고 차단할 수 있도록 탐지 및 차단 시그니처를 개발해 등록을 마쳤다.
최근 앱스토어에 등록된 아이폰 버전의 위협예경보서비스 '아이시큐어캐스트'에서도 취약점 정보를 확인할 수 있다.
손동식 나우콤 침해사고대응총괄 이사는 "XE 사용자라면 누구나 이 취약점에 노출되기 때문에 보안제품에 차단 시그니처를 적용하거나 보안버그 패치를 설치해야 XSS 공격을 예방할 수 있다"고 밝혔다.
관련기사
- 나우콤 "이제 보안관리도 아이폰으로"…앱 출시2010.03.17
- 나우콤, 올 매출 850억원·영업익 140억원 목표2010.03.17
- 나우콤, 종합위협관제시스템 CC인증 획득2010.03.17
- 어머니 생각하며 나무 틀에 철판 두드려 만든 토요타…"시작은 이랬다"2024.11.23
관련정보 및 분석보고서는 시큐어캐스트 및 아이폰 앱 아이시큐어캐스트에서 확인할 수 있다..
한편, 나우서트는 사이버 침해사고의 근본원인인 취약점, 악성코드, 해킹, 웜, 스파이웨어, 비정상 트래픽 등을 분석하고 연구하는 역할을 한다.