유명 공개 웹 애플리케이션 게시판 그누보드에서 데이터베이스(DB) 정보 탈취가 가능한 취약점이 발견돼 사용자 주의가 요구된다.
윈스(대표 김대연)는 30일 그누보드 4.37.26 이하 버전에서 DB 정보 탈취가 가능한 블라인드 SQL 인젝션 취약점을 발견했다.
취약점은 페이지 파라미터 값을 필터링 없이 쿼리문에 그대로 전달하면 발생한다. 공격자는 파라미터 값을 조작해 DB 내 모든 정보를 획득 또는 삭제할 수 있다. DB 시스템 내에 악성 파일을 생성하거나 시스템 조작이 가능하다.
윈스 침해사고대응센터 WSEC는 “해당 취약점을 ‘bo_subject’ ‘po_subject’ ‘wr_content’ 파라미터에 필터링 정책을 추가하는 방법으로 해결할 수 있다”고 말했다.
윈스는 그누보드 배포 사이트인 에스아이알소프트에 관련 정보를 제공했다. 손동식 윈스 침해사고대응센터장은 “그누보드와 같은 공개용 게시판은 불특정 다수의 인원이 사용하는 만큼 취약점에 노출되면 정보 유출 위험 크다”며 “게시판 개발자는 소스코드 안전진단이나 보안 코딩 가이드를 이용해 취약점을 예방하는 것이 중요하다”고 말했다.
김인순기자 insoon@etnews.com