사용자, 리그오브레전드 게시물 사용 시 클릭 주의, 팝업 차단해야

라이엇 게임즈, 조속한 조치...현재 패치작업 완료

[보안뉴스 김태형] 국내 유명 온라인 게임인 ‘리그 오브 레전드(League of Legneds)’에서 XSS(Cross Site Scripting) 보안 취약점이 발견되어 해당 사용자들의 주의가 필요하다. 특히 XSS 공격은 SQL 인젝션 공격과 함께 가장 위험성이 높은 취약점으로 국제 웹 보안 표준기구에서 경고하는 10대 웹 보안취약점에서 수위를 차지한다.

이번에 발견된 취약점은 HTML 태그에 대한 필터링이 제대로 이루어지지 않아 발생하는 취약점으로 해당 서비스 사용자는 CSRF, 악성코드 배포, 하이재킹 공격 등 2,3차 피해를 입을 수 있어 각별히 주의해야 한다.

이번 보안 취약점을 발견한 국제 정보보안교육센터(I2sec) 곽기용 씨는 “이번에 발견한 XSS 취약점은 HTML 태그에 대한 적절한 필터링이 이뤄지지 않아 발생하는 취약점으로 상황에 따라 CSRF, 하이재킹, 악성코드 배포로 이어질 수 있어 사용자들은 주의해야 한다”면서 “현재 라이엇게임즈코리아 측에 이러한 취약점 내용을 전달한 상황”이라고 설명했다.

이어서 그는 “라이엇 게임즈코리아가 운영하는 리그 오브 레전드 회사는 국내 최대의 게임 회사로써 많은 이용자들이 매우 많다. 이에 경각심을 갖고 빠른 대응 조치를 취해야 할 것이다”라고 덧붙였다.

이번 리그 오브 레전드 게임의 XSS 취약점을 살펴보면 아래와 같다.

     ▲ 스크립트를 입력한다

      ▲ 해당 스크립트가 정상적으로 동작되는 것을 확인 할 수 있다.

      
      ▲ 게시물 삭제코드 입력한다

                      ▲정상적으로 삭제되는 것을 확인 할 수 있다

위 그림처럼 해당 스크립트를 입력하게 되면 게시물을 등록 할 수 있다. 그런 다음 사용자나 운영자가 게시물을 읽게 되는 경우 해당 브라우저에서 해당 스크립트가 정상적으로 동작되는 것을 확인 할 수 있다.

국제 정보보안교육센터 측은 “이번 취약점의 해결 방안으로는 사용자의 우회 공격이 가능한 태그를 금지하고 다음 측에서 제공하는 에디터를 통해서만 콘텐츠를 링크할 수 있도록 설정하는 방법 등으로 보안을 강화할 수 있다”고 설명했다.

현재 라이엇 게임즈코리아 측에 이와 같은 취약점에 관한 내용을 전달했으며, 라이엇 게임즈코리아 측은 해당 취약점에 대한 패치 작업을 진행 중인 것으로 알려졌다. 이에 사용자들은 리그오브레전드의 게시물 사용 시 클릭을 주의하고 팝업 차단 설정 등을 통해 보안에 각별히 신경써야 할 것으로 보인다.

이와 관련해 리그오브레전드 측은 “해당 사항에 대해 보안조치를 완료했다. 추후에도 이러한 보안 취약점에 대해서는 조속한 조치를 통해 이용자들의 불편이 없도록 최선을 다할 것”이라고 말했다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>