상당수의 해외 보안 연구자들이 트위터, 페이스북 등 소셜 네트워킹 서비스의 보안 위협에 우려를 표하고 있는 가운데, 한 보안 연구자가 블로그를 통해 트위터의 URL 길이제한과 관련된 XSS 취약점을 시연해 관심을 끌고 있다.

보안 연구자 아비브 라프(Aviv Raff)가 제3자 트위터(Twitter) 애플리케이션의 취약점에 대해 우려를 표하며 특히 Bit.ly 링크 단축 서비스의 일부 심각한 크로스사이트 스크립팅 취약점을 강조하고 나섰다.

지난해 구글 크롬 발표 직후 크롬에서 경고창이 뜨지 않은 채 파일이 다운로드 되거나 특정 명령어가 들어간 사이트에 접속할 경우 모든 브라우저가 종료되는 등의 치명적인 보안 취약점들을 발견하기도 했던 아비브 라프(Aviv Raff)는 지난 1일(현지 시간) 자신의 블로그(TWITPW)에  ‘Month of Twitter Bugs’라는 Bit.ly 에러를 PoC로 시연하는 포스트를 게재하고 “2009년 7월은 트위터 버그의 달(月)이 될 것”이라고 말했다.

Bit.ly는 대표적인 URL 단축 서비스 중 하나로, 사용자는 이를 통해 사용자는 줄여진 링크를 추적할 수 있다. 특히 트위터에서는 글자수가 140자로 제한되어 있기 때문에 긴 웹 주소를 그대로 복사해 붙이면 잘리게 되는 경우가 발생한다. 따라서 트위터에서는 긴 웹 주소를 짧게 줄여주는 서비스를 이용해 링크를 걸게 되어있는데, http://bit.ly 서비스는 긴 웹 주소를 그대로 넣으면 자동으로 주소 길이를 줄여주기 때문에 트위터 이용자들에게 애용되고 있다.

그러나 이 같은 링크 단축 서비스에 대한 우려가 최근 증가 추세에 있다. 실제로 URL 단축 서비스 중 하나인 Cligs로 인해 지난 달 220만 개의 URL들이 하나의 웹 페이지로 리디렉트 되는 일이 발생하기도 했다. 다행스럽게도 이 웹 페이지는 악성 페이지가 아닌 것으로 확인되었으나 이 사태를 계기로 링크 단축 서비스의 취약점이 새로운 위협을 내재하고 있다는 인식이 확대됐다.

라프는 블로그를 통해 특히 bit.ly과 관련된 URL 쿼리 파라미터와 키워드 파라미터의 크로스사이트 스크립팅, 로그인 페이지의 사용자 이름 필드의 POST 크로스사이트 스크립팅, 인포 페이지의 컨텐츠 타입 필드에 지속적으로 나타나는 크로스사이트 스크립팅 등을 실례를 들어 위험성을 강조했다.

사실 이러한 취약점들은 보안 연구자 마이크 베일리(Mike Bailey)와 마리오 하이드리히(Mario Heiderich)가 발견한 것으로, 이에 대해 Bit.ly 개발자들은 한 달여에 걸쳐 해당 에러를 수정했으며 지난 1일 최신 패치를 배포했으며, 라프가 강조한 취약점들도 현재 모두 패치된 상태다.

그러나 라프는 “bit.ly는 엄청난 유저 베이스를 갖고 있다. 그러나 이러한 형편없는 수준의 보안 취약점 대응과 허술하게 코드된 웹사이트에 관해 우리는 다만 나아지길 기대하는 수밖에 없다”고 비난하며 “단축된 URL 클릭시 주의해야 한다”고 덧붙였다.

라프는 또한 트위터 API가 트위터 웜을 생성하고 이용자들의 민감한 정보를 탈취하기 위해 맬웨어를 전파하는 공격자들의 도약대가 될 수 있다며 보안 측면에서 트위터를 비롯한 웹 기반 소셜 네트워킹 서비스에 우려를 표했다.

[김동빈 기자(foreign@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>