아시다싶이 [회원정보 보기] 메뉴에서 아이디, 이메일 주소를 공개하지 않도록 설정하여도
알림센터를 통해 노출될 수 있다는 점이 밝혀졌습니다.
어떻게 취약점이 작동할 수 있는지 테스트 화면을 통해 한번 살펴볼까요?
관리자가 일반 회원이 타 회원의 아이디 및 이메일 주소를 확인할 수 없게 설정을 하였습니다.
이것은 한 회원(test1)이 타 회원(test2)의 회원 정보를 열람하였을 때 볼 수 있는 화면이고요.
보시다시피 회원 그룹과 가입일밖에 확인할 수 없죠.
위 관리자 화면에서의 설정에 따른 모습입니다...
그리고 이것은 test1 회원이 작성한 게시글에 test2 회원이 댓글을 남긴 상황입니다.
알림센터 모듈을 사용 중이라면 test1 회원에게 test2 회원이 댓글을 남겼다고 알림이 가겠지요?
이 상태에서 test1 회원이 알림을 삭제하지 않고 서버에 직접 요청을 보냈더니
test2 회원의 아이디와 이메일 주소를 바로 확인할 수 있었습니다.
매우 치명적입니다. 이게 몇년동안 알려지지 않았다는 것이 더욱 충격적입니다.
처음 보자마자 딱 든 생각은... 이렇게 간단한 취약점이지만 오랜 기간 알려지지 않았던 것으로 미뤄보아 어디선가는 무조건 악용이 있었을 것이라고 생각이 드네요.
회원 간 소통이 있고, 알림센터 모듈이 작동중인 사이트라면 반드시 패치를 하셔야 합니다.
2017년인가? XE 코어에서 오래된 취약점들이 단시간에 여러 개 발견된 적이 있었지요. 남의 글을 함부로 삭제하거나 내 글로 만드는 등, 커뮤니티를 쑥대밭으로 수 있는 심각한 문제가 한 달에도 몇 개씩 터져나왔습니다. 그 당시 네이버에서 보안취약점 신고 포상 제도를 운영한 덕분에 양지로 드러났는지도 모르겠네요. 아무튼 그 때 XE 개발팀과 라이믹스 팀이 협력하여 대대적인 검수를 한 결과 코어는 상당히 탄탄해졌는데, 오래된 서드파티 모듈, 애드온, 위젯 등에는 아직도 지뢰가 많이 숨어 있을 것으로 보입니다.
알림센터는 유료 서드파티로 시작되었다가 무료 Lite 버전이 나왔고, Lite 버전이 꾸준히 개발되면서 유료 버전을 뛰어넘고 사실상 필수 모듈 취급을 받다가 라이믹스 코어에 포함되기까지 한 특이한 사례입니다. 태생이 코어가 아닌 만큼, 수년간 정리를 거쳤음에도 여전히 라이믹스에서 가장 지저분한 자료구조와 배배 꼬인 실행구조를 갖고 있지요. 더 많은 관심이 필요한 모듈입니다.. ㅠㅠ