고객만족센터

위즈몰 사용하는 쇼핑몰 제로데이 등 4가지 취약점에 노출!

[보안뉴스 길민권] 국내 쇼핑몰 20~30%가 사용하고 있는 쇼핑몰 솔루션 ‘위즈몰’ 최신버전에 대한 제로데이(0-day)  취약점이 발표돼 쇼핑몰을 이용하는 사용자들의 개인정보가 위험한 상황이다. 이에 대한 신속한 대처가 필요하다. 

국제정보보안센터(이하 i2Sec. 부산)은 16일 국내 무료 쇼핑몰 ‘위즈몰’ 최신 버전에 대한 취약점(0-day Exploit)을 발표했다. 위즈몰은 국내 무료 쇼핑몰로 여러 방면에서 널리 보급되어 사용 중 인 홈페이지다.

위즈몰에서 발견된 대표적인 취약점으로는 XSS, CSRF, 안전하지 않은 직접객체 참조, 보안상 잘못된 구성 등 4가지로 드러났다. 구체적인 취약 현황은 아래와 같다.

◇XSS 취약점 = XSS(Cross Site Scripting)는 동적 생성 웹 페이지에 악의적인 스크립트를 넣어, 사용자가 해당 페이지를 열람했을 경우 삽입한 스크립트를 실행하도록 함으로써 사용자의 정보를 탈취하는 웹 해킹 기법이다.

◇CSRF 취약점 = CSRF(Cross Site Response Forgery)는 크로스-사이트 스크립팅(XSS)과 유사한 점이 있지만, XSS의 경우에는 악성 스크립트를 웹사이트에 삽입할 필요가 있는 반면, CSRF 공격의 경우 사이트가 신뢰하는 사용자를 통해 공격자가 원하는 명령을 사이트로 전송하도록 하는 기법이다.

◇안전하지 않은 직접객체 참조 취약점 = 어플리케이션은 웹페이지를 생성할 때 종종 실제 이름이나 키값을 사용한다. 어플리케이션은 사용자가 대상객체에 대한 권한을 갖고 있는지 항상 검증하지 않는다. 이를 이용하여 타사용자 정보를 조회할 수 있다.

◇보안상 잘못된 구성에 대한 취약점 = 허가되지 않은 접근이나, 시스템 정보 획득을 위해 공격자는 디폴트 계정, 사용되지 않는 페이지, 패치 되지 않은 결함과 보호되지 않은 파일과 디렉토리 등을 통해 접근한다.


[기사전문보기]