자체개발 검증필터 알고리즘 탑제한 ‘XSS 방어시스템’ 도입예정

XSS공격에 국내 많은 사이트들이 취약하다는 일련의 기사를 통해 다시 한번 포털과 여러 사이트들이 XSS 취약점에 대한 점검을 실시하고 있는 중이다. 네이버도 해당 취약점에 대해 점검을 실시하고 취약했던 부분에 대해 시정을 하고 있는 중이다.

또 포털 네이트·엠파스와 싸이월드, 이글루스 등을 서비스하고 있는 SK커뮤니케이션즈(corp.nate.com)도 XSS공격에 대비해 그동안 많은 준비를 해왔고 향후에도 지속적인 관심을 가지고 공격에 대비한 방어책을 수립할 계획이라고 밝혔다. 다음은 SK컴즈 보안담당자와의 일문일답 내용이다.

-현재까지 XSS 취약점 공격에 대비해 어떤 방어책을 세워왔나?

XSS공격에 대비하여 당사는 게시물 입력, 댓글 작성 등에 입력값 검증 및 출력값 검증을 실시하고 있다. XSS 공격이 용이한 주요 메뉴에 대해서 프로그램 소스 내 입력값 검증 필터를 삽입하여 악성 스크립트를 입력하지 못하게 하고 있으며 만에 하나 신규 악성스크립트 패턴을 이용해 이를 우회한 경우에도 출력 값을 검증 필터를 즉시 적용하여 XSS 공격을 대비하고 있다.

또한 XSS를 이용해 타인의 권한을 도용하지 못하도록 인증 쿠키(Cookie)를 Http-only Cookie로 발급하여 이를 방지하고 있고 민감한 정보에 대해서는 암호화하는 방법 등을 지속적으로 검토 및 적용을 진행하고 있다.

 

-추가적으로 적용할 방지대책은 무엇이 있나?

현재 주요 서비스에 대해서 XSS를 방어하고 있으나 모든 서비스에 대해 효율적으로 XSS 공격에 대응하기 위해 XSS 방어 시스템을 적용할 계획을 하고 있으며 자체적으로 검증 필터 알고리즘을 개발했다.

이를 탑재한 XSS 방어 시스템을 개발 완료해 적용을 앞두고 있는 상황이다. 이 시스템은 고객의 입력 값이 서버에 도달하기 전에 미리 검사할 수 있도록 하는 시스템이다. 

 

-XSS 취약점 공격을 막는데 어려움은 어떤 것이 있나?

XSS에 악용되는 태그에 대해서는 신규 패턴이 계속 생성되고 있고 정상적인 서비스에도 이용되는 경우가 있어 100% 차단하는 것은 현실적으로 어려운 상황이다.

예를 들어 게시물 작성 시 글자모양을 꾸밀 수 있는 기능을 제공한 경우 이 기능이 마찬가지로 XSS용 악성태그 삽입에 이용될 수 있어서 고객을 불편하게 하느냐 보안성을 높이느냐를 놓고 고민이 있다.

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>