사용자 세션 훔치기·악성컨텐츠 삽입·키로거에 의한 추가 공격 가능!

[보안뉴스 길민권] 지난 10월 중순 청와대와 보건복지부 사이트에서 XSS(Cross-Site Scripting/크로스사이트스크립팅) 취약점이 발견된데 이어 10월 27일에는 XSSed.COM 사이트에 대법원 영문 홈페이지에도 XSS 취약점이 발견된것이 확인돼 공공기관 사이트들의 정밀한 보안취약성 검사와 코드 수정이 시급한 실정이다.

XSS 취약점을 전문으로 게시 및 아카이빙 하는 해외 사이트 ‘XSSED.COM’(국제적으로 웹취약점을 공유하는 사이트)에 올라온 대법원 영문사이트 XSS 취약점 또한 XSS 취약점을 통해서 다양한 공격이 가능하다.

사용자 세션 훔치기, 웹사이트 변조, 악성 컨텐츠 삽입, 사용자 리디렉트, 사용자 브라우저에서 스크립트 실행 등이 가능하기 때문에 각별히 주의를 기울여야하는 취약점이다. 또 추가적으로 최근에는 사용자가 입력하는 키보드 값을 가로채는 키로거가 자바 스크립트로 개발되어 인터넷에 유포되고 있어 추가적인 보안 위협이 될 가능성이 있다고 전문가들은 경고하고 있다.

대법원 영문 사이트 XSS 취약점은 정확하게 영문사이트의 ‘검색’ 부분이다. 파이어폭스에서 아래 링크를 열어보면 아래 그림과 같은 스크린샷을 볼 수 있다. 스크린샷은 브라우저로 접속할 때 서버에서 사용자 브라우저를 인식하는 쿠키값이다.

http://eng.scourt.go.kr/eng/search/search_result.jsp?qu=%22%3E%3Cscript%3Ealert%28document.cookie%29

%3C%2Fscript%3E&x=9&y=5

대법원 영문사이트의 XSS 취약점에 대한 좀더 자세한 화면은 다음과 같다.

XSS 취약점은 SQL인젝션 취약점과 함께 웹사이트를 위협하는 가장 큰 위협으로 알려져 있으며 특히 공공기관과 같은 민감한 국민의 개인정보를 대량 보유하고 있는 사이트들은 특히 유념해서 보안관리를 철저히 해야한다.

전문가들은 XSS 취약점을 예방하기 위해서, 물리적 방어 체계와 소프트웨어적 방어 대책이 필요하다고 말한다.

우선 웹서버 앞에 기본적으로 웹방화벽 설치가 되어야 한다. 대법원 사이트도 물론 웹방화벽이 설치돼 있겠지만 추가적으로 XSS 관련 모듈을 점검해 필터링이 되도록 추가 조치를 해야 한다.

또 웹 소스의 수정이 필수적이다. 원칙적으로 SQL Injection과 XSS 취약점은 취약한 웹 개발이 원인이다. 따라서 개발자를 통해 문제가 되는 부분을 수정해야 한다. 하지만 개발자는 어느 부분에 취약점이 있는지 알 수가 없으므로 보안 전문가 등과 협업해 문제를 해결해야 한다. 이때 시간적·금전적 부담이 꽤 늘어나게 된다. 하지만 이러한 부분은 개발을 의뢰한 기업이나 기관에서 책임지고 보장해 줘야만 안전한 웹 보안코딩이 이루어질 수 있다.

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>