11가지 패턴에서 공격코드 발견...계정 가로채기, 유해광고 피싱 가능

Little Rascal팀 “최신 XSS 패턴 확보해 철저한 필터링 이루어져야” 

[보안뉴스 김태형] 국내 대형 포털 사이트에서 XSS(Cross Site Scripting) 취약점이 종종 발견되고 있는 가운데 다음 블로그에서도 이와 같은 XSS취약점이 발견되어 블로그 관리자들과 이용자들의 주의가 필요하다.

XSS 취약점은 웹 애플리케이션이 어떤 사용자로부터 악의적인 데이터를 수집할 때 발생하는 것으로, 이 취약점을 이용하면 공격자는 쿠키를 사용하는 사이트에서는 계정을 가로챌 수 있다. 

여기에 CSRF 기법을 이용하면 관리자 권한으로 수행되는 관리자 패스워드 변경, 타인 글 삭제, 타인 글 변경, 타인의 회원 탈퇴, 관리자 특수 권한을 이용한 사이트 조작 등이 가능하다.

다음 블로그의 XSS 취약점을 발견한 청소년 해킹&보안팀 ‘Little Rascal’ 팀의 리더염세현 군은 “XSS 취약점을 찾아내는 프로그램을 통해 XSS를 수행해본 결과 우리 팀에서 가지고 있는 XSS 패턴 100여 가지 중 11가지의 패턴에서 XSS 공격코드를 발견하게 됐다”고 설명했다.

덧붙여 그는 “이 패턴들을 확인해보니 ‘script’ 태그를 이용하는 경우 외부 사이트에서 자바스크립트 파일(.js)을 불러와서 해당 사이트에서 실행됐고, ‘link’ 태그를 이용해서 스타일시트 파일(.css)을 불러와서 해당 사이트에서 실행되는 것이 확인했다”고 설명했다.

염 군은 “이러한 XSS 문제가 발견되면 이를 악용한 ‘Account Hijacking’ 기법 등으로 사용자의 설정을 바꾸거나 쿠키를 갈취할 수 있을 뿐만 아니라 유해한 광고를 올려놓고 이용자들이 이 광고를 클릭하게 되면 다른 페이지로 이동하도록 한다거나 가짜 피싱사이트로 유도할 수도 있다”고 설명했다.

심지어 이를 통해 서비스 거부(DoS) 공격을 자동으로 수행하게 할 수도 있어 공격자가 어떻게 악용하는지 따라 심각한 보안위협이 될 수 있다는 것이 그의 설명이다.

염세현 군은 “현재 이러한 취약점을 보완하기 위해서는 특정 텍스트 ‘< 와 >’를 ‘&#40’ 와 ‘&#41’ 로 필터링하는 것이 필요하고, 최신 XSS 패턴을 확보한 후 다양한  XSS 공격 패턴을 감지해 필터링하는 것도 방법”이라고 설명했다.

이번 XSS 취약점과 관련해 다음커뮤니케이션 보안담당자는 “XSS 취약점은 가장 일반적이면서도 다양하기 때문에 보안기술팀에서 정확한 문제를 파악한 후에 필요한 조치를 완료했다. 다만, 11가지 공격패턴 중에서 하나는 시간 좀 걸려 현재 조치중”이라고 말했다.

다음커뮤니케이션 측은 “우리는 이러한 보안취약점이 발견되는 즉시 필요한 조치를 취하고 있다. 향후에도 보안취약점에 대해서는 최선을 다해 보완해 나갈 방침”이라고 밝혔다.  

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>