나우콤, '제로보드' 보안 취약점 발견

[아시아경제 김철현 기자]국내 공공기관에서 가장 많이 사용되고 있는 공개 웹 게시판 및 사이트 제작 소프트웨어의 보안 취약점이 발견돼 주의가 요구된다.

나우콤(대표 김대연)은 17일 '익스프레스엔진(Xpress Engine, 구 제로보드 및 제로보드XE, 이하XE)'의 최신버전인 'XE Core 1.4.0.9'에서 보안 취약점을 발견했다고 밝혔다.

이 취약점은 현재 개발중인 HTML5 버전에서 제공하는 이벤트 태그를 차단하지 않아 발생하며, 대부분의 웹 브라우저에서 이미 HTML5를 지원하고 있어 주의가 필요하다는 것이 나우콤 측의 설명이다.

나우콤에 따르면 이 취약점은 XE를 이용한 게시판이나 웹 사이트에 사이트 관리자가 아닌 다른 사용자가 접근할 수 있게 허용하며, 공격대상 웹사이트에 삽입한 스크립트를 이용해 다른 웹사이트로 접근하는 것도 가능하게 한다.

나우콤은 자체 침해사고대응조직인 '나우서트(NOWCERT)'를 통해 이 취약점을 조기에 발견, 국가정보원, 해외 유명 보안사이트 시큐니아, 개발자 커뮤니티 등 국내외 관련기관에 전달했다고 밝혔다.

또한 나우콤은 온라인 위협예경보서비스인 '시큐어캐스트(SecureCAST)'에 이번 취약점 정보를 공개하고, 웹 보안 제품군 '스나이퍼(SNIPER)'에서 이 취약점을 이용한 공격을 탐지하고 차단할 수 있도록 조치를 완료했다.

나우콤 침해사고대응총괄 손동식 이사는 "XE 사용자라면 누구나 이 취약점에 노출되기 때문에 보안제품에 차단 시그니처를 적용하거나 보안버그 패치를 설치해야 공격을 예방할 수 있다"고 설명했다.

[아시아경제 증권방송] - 3개월 연속 100% 수익 초과 달성!

김철현 기자 kch@asiae.co.kr
<ⓒ세계를 보는 창 경제를 보는 눈, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>