특수문자 사용 불가, 글자수 제한 등의 보안코딩 이루어져야

[보안뉴스 권 준] 많은 사람들이 이용하는 국내 대표적인 파일공유 사이트 3곳에서 XSS(Cross Site Scripting) 취약점이 발견됐다. 

파일공유 사이트의 취약한 보안문제는 예전에도 많이 지적돼 왔던 게 사실이다. 그럼에도 불구하고, 취약점에 대한 위험성을 인지하지 못하고 계속 문제가 불거지고 있는 것이다.

IT 보안 컬럼리스트로 활발하게 활동하고 있는 이규형(평촌고 3) 군은 파일공유 사이트 약 150곳에 대한 XSS 취약점을 진단해본 결과 아직도 3군데가 XSS 취약점에 노출돼 있는 것이 확인됐다고 본지에 알려왔다. 

이러한 파일공유 사이트의 XSS 취약점이 악용된다면 악성코드 및 악성 URL 유포는 물론  다른 사람의 세션 상태를 훔치거나 도용하여 액세스하는 세션 하이재킹 공격과 CSRF(Cross Site Request Forgery) 공격 등이 가능하다. 

이와 관련 이규형 군은 “파일공유 사이트에서의 XSS 취약점은 예전부터 많이 제보가 됐음에도 불구하고 취약점에 대한 위험성을 인지하지 못해 계속 문제가 발생하고 있다”며, “해당 파일공유 사이트들은 하루빨리 취약점에 대한 위험성을 인지하고 검색 창에 ‘특수문자 사용 불가능 기능, 글자 수 및 띄어쓰기 제한’ 등과 같은 보안 코딩을 함으로써 XSS 취약점을 보완해야 한다”고 설명했다.

XSS 취약점이 발견된 국내 대형 파일공유 사이트는 B사, S사, D사 등 3곳으로 이규형 군에 의해 한국인터넷진흥원 측에 신고된 상황이다.

[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>