최근 ‘YGN 윤리적 해커 그룹‘은 풀 디스클로저(Full Disclosure) 보안 메일링 리스트를 통해 맥아피 사이트에 존재하는 다양한 버그를 공개했다. 이에 따라 맥아피 웹사이트의 보안 취약성 문제가 다시 한번 수면위로 떠오른 것.

맥아피 사이트가 보안에 취약하다고 알려진 것은 이번이 처음이 아니다. 지난 2008년 보안 워치독(Watchdog)이 XSS 취약점에 대해 경고했고, 이듬해 2009년 선의의 해커인 메소드맨(Methodman)이 해당 취약점을 이용한 개념증명코드를 공개하기도 했다. 2010년에는 심지어 맥아피 커뮤니티 포럼이 XC 스크립팅 공격을 당하기도 했다.

XSS란 악의적인 공격 현상으로 게시판, 웹 메일 등에 삽입된 악의적인 스크립트에 의해 페이지가 깨지거나 다른 사용자의 사용을 방해하거나 쿠키 및 기타 개인정보를 특정 사이트로 전송시키는 공격을 말한다.

XSS 취약점을 통해서 다양한 공격이 가능하다. 사용자 세션 훔치기, 웹사이트 변조, 악성 컨텐츠 삽입, 사용자 리디렉트, 사용자 브라우저에서 스크립트 실행 등이 가능하기 때문에 각별히 주의를 기울여야하는 취약점이다.

맥아피는 성명서를 통해 이 취약점에 따른 피해는 아직 없으며 현재 이를 수정하는 중이라고 밝혔다. 다행히 고객의 개인정보나 기술 유출은 이뤄지지 않은 것으로 알려졌다.

한편 이와 관련 보안업계 한 관계자는 “보안기업은 자사의 제품과 서비스를 통해 타 기업의 웹사이트 취약점을 진단해 주고, 보안위협으로부터 안전하게 해 준다는 점에서 맥아피의 지속적인 XSS 취약점 노출은 모순이 있다”며 “작은 보안위협의 누적은 결국 큰 보안사고를 야기시킬 수 있다는 것을 보안기업 맥아피는 간과해서는 안될 것”이라고 비판했다.  

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>