SK커뮤니케이션즈 보안 취약점 또 발견

Printer-friendly versionPrinter-friendly versionSend by emailSend by email
락다운 '토크온의 XSS취약점 문제, 악성코드 유포, 개인정보 유출 등 피해 우려'
Friday, May 16th, 2014

SEOUL, KOREA - 화이트해커그룹 락다운(Lockdown)SK커뮤니케이션즈(SK Communications)가 서비스하는 음성 채팅이 가능한 게임 채팅 메신저 토크온(Talk on) 프로그램 내 신고하기 기능에서 XSS(Cross-Site Scripting)을 실행하는 취약점을 발견했다고 밝혔다.

만약 일반 사용자가 공격자의 신고하기 버튼을 누르면 자동으로 공격스크립트가 실행돼 사용자의 컴퓨터에 악성코드를 설치하여 원격조종, 컴퓨터 웹캠을 이용한 영상촬영, 키로깅, 개인정보 유출 등 많은 피해를 입을 수 있다. 또한 메모리 조작 프로그램을 이용한다면 누구나 쉽게 이 XSS 취약점을 악용할 수 있다.

토크온이 가지고 있는 이 취약점은 공격자가 메모리 조작 프로그램을 사용해서 공격자의 닉네임을 공격 스크립트 문으로 바꾸면 일반 사용자들이 공격자의 신고하기 버튼을 누를 시에 신고하기 창안에서 XSS스크립트가 작동되는 원리로 발생하며 Windows XP이상의 모든 환경과 토크온 1.0.9.0 버전에 영향을 준다.

최근 SK 커뮤니케이션즈는 개인정보유출 소송에서 보안적 책임을 다했다는 이유로 승소했다. 하지만 정작 몇 만 게임 유저들이 사용하는 음성채팅 프로그램 토크온은 5년째 베타서비스로 운영되고 있으며 보안에 있어서도 이 같은 취약점을 보이고 있다.

흔하고 쉬운 공격 방식인 이 XSS 스크립트를 차단하기 위해 마이크로소프트는 익스플로러 8.0이상 버전부터 XSS 공격 방어 필터를 마련했지만 토크온에서는 XSS 공격방어 필터가 제대로 작동되지 않는다. 이 문제는 보안적으로 상당한 위험에 노출되어있음을 의미한다. 참고로 락다운은 마이크로소프트 측에 토크온과 인터넷익스플로러에 내장된 XSS필터 관련 보고서를 제출할 예정이다.

해당 취약점은 SK커뮤니케이션즈의 신속한 조치로 보안 적용이 완료되었다. 지난 2011SK커뮤니케이션즈의 네이트와 싸이월드에서는 회원 3500만 명의 개인정보가 이미 유출된 사례가 있다. 이같은 사고의 재발을 방지하기 위해 보안 강화를 위한 노력을 계속할 것이라 SK커뮤니케이션즈는 밝혔다. 


 

By 김유나기자(yuna@koreaittimes.com)

 

Comments

Hanwha onsure

samsung fire

new energy