관리자 권한 사칭해 하부 기관에 악성코드 삽입된 파일 전송 위험!

XSS 취약점과 SQL인젝션에 대한 근본 방지대책 절실해

[보안뉴스 길민권] 10월 중순 경, XSS(Cross-Site Scripting/크로스사이트스크립팅) 취약점을 전문적으로 게시 및 아카이빙하는 해외 사이트 ‘XSSED.COM’(국제적으로 웹취약점을 공유하는 사이트)에 청와대와 보건복지부 사이트에 대한 취약점이 공개된 것이 확인됐다.(http://xssed.com/search?key=go.kr) 

XSS 취약점은 OWASP Top 10 2010에서 두 번째로 높은 위험 등급을 가지고 있는 취약점이다.

XSS 취약점을 통해서 다양한 공격이 가능하다. 사용자 세션 훔치기, 웹사이트 변조, 악성 컨텐츠 삽입, 사용자 리디렉트, 사용자 브라우저에서 스크립트 실행 등이 가능하기 때문에 각별히 주의를 기울여야하는 취약점이다.

악성 해커는 XSS 취약점을 이용해 해당 기관 IT관리자 권한을 사칭해 타기관에 악성코드가 감염된 파일을 보낼 수도 있다. 정부기관에서 보낸 메일 내용을 신뢰하는 하부기관 담당자들이 파일을 실행하는 순간 악성코드 감염이 급속도로 정부기관 전체로 확산될 수도 있는 문제다.

또한 청와대나 보건복지부 사이트를 피싱사이트로 악용할 수 있기 때문에 해당 기관 IT보안 담당자는 주기적으로 보안성 검사와 웹취약점에 대한 심도있는 점검을 실시한 후 서비스를 운영해야 한다.

상대적으로 보안에 많은 투자를 하고 있는 정부기관 사이트들도 XSS 취약점과 같은 위험에 노출되고 있는 상황에 민간기업 사이트들의 웹취약점은 더욱 심각할 것으로 보인다.  

한편 많은 보안담당자들은 XSS 문제와 더불어 국내에 인자값 검증이 안돼 발생하는 SQL인젝션 문제가 더욱 심각한 상황이라고 입을 모으고 있다. 이에 대한 체계적이고 혁신적인 대책마련이 시급하다.

청와대, 보건복지부 이외에 다른 국가 기관의 취약점도 이미 널리 알려져 있는 상태다. 하지만 아직도 패치가 되지 않은 상태로 방치되고 있어 신속한 조치가 필요한 상황이다.

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>