[보안뉴스 호애진] 새로운 XSS(Cross-Site Scripting) 취약점을 이용한 익스플로잇이 시장가격의 절반 이하인 700달러에 한 언더그라운드 마켓에서 독점으로 유통되고 있는 것으로 나타났다. 이는 해커들이 쿠키를 훔친 후 야후(Yahoo) 이메일 계정에 접근할 수 있도록 해준다.

미국 보안전문가인 브라이언 크렙스(Brian Krebs)는 블로그를 통해 이번 공격은 야후 이메일에 사용되는 세션 쿠키를 빼낸 후 해커들이 계정에 접속해 메시지를 읽거나 전송할 수 있는 기능을 제공한다고 밝혔다.

해당 익스플로잇을 판매하는 해커는 더헬(TheHell)이라는 이름을 사용해 데모 영상을 공개했다. 그는 이번 공격이 XSS 취약점을 이용한 공격이라 설명했는데, 국제 웹 보안표준기구 OWASP에 따르면 데이터베이스의 취약 서버 또는 코멘트 필드에 코드가 영구 저장된 경우 저장된 공격이 실행된다.

즉, 이번 공격에 노출된 사용자가 저장된 정보를 요청할 때마다 공격이 실행된다. 이것은 반사 공격과는 반대되는 것이다. 반사 공격에서는 웹 서버에서 브라우저로 주입된 코드가 실행된다.

더헬은 저장된 XSS 공격들이 크롬과 인터넷 익스플로러 등의 브라우저에 내장된 XSS 필터를 우회할 수 있다며 이러한 공격의 일반적인 가격대는 1,500달러선이라고 설명했다.

더헬이 공개한 동영상에 따르면, 이번 공격에 노출된 사용자의 야후 계정으로 이메일이 전송되고 공격자는 사용자가 악의적인 링크를 클릭하도록 유도한다. 사용자가 링크를 클릭한 경우, 쿠키에 정보가 저장되고 이메일 페이지로 다시 리다이렉트(redirect) 되는데 이때 공격자는 사용자의 계정을 획득하고 메시지를 확인 또는 전송할 수 있게 된다.

이와 관련 야후의 보안책임자 라메세스 마르티네즈(Ramses Martinez)는 보안팀이 해당 익스플로잇을 발생시키는 정확한 URL을 찾아야만 한다며, 해당 동영상에는 단서가 거의 없다고 밝혔다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>