간단한 코드로 XSS 취약점 확인...현재 수정 완료

[보안뉴스 김태형] 최근 뽐뿌, 인벤 등 통신 및 게임 분야 등에서 많은 사용자들이 찾는 커뮤니티에서 취약점이 잇따라 발견되고 있다.  

온라인 게임관련 최대 커뮤니티 사이트 ‘인벤(www.inven.co.kr)’에서도 XSS 취약점이 발견된 것.

해당 취약점을 발견한 국제정보보안센터(I2SEC) 17기 수강생 김민재(동인고) 군은 “교육센터 수업 중 평상시 자주 이용하던 커뮤니티 사이트가 안전한지 취약점 검증을 해본 결과, 간단한 코드로도 취약점 있음을 발견했다”고 밝혔다.

김 군은 해당 취약점 권고 보고서를 인벤 웹사이트 담당자에게 전달했으며 해당 취약점은 현재 수정이 완료된 상태다.

김민재 군은 “XSS 취약점은 저장형태, 반사형태로 2가지의 큰 범주로 나뉘게 되는데, 이번에 발견된 취약점은 저장형태로서, 공격의 유연성이 뛰어나 피해가 심각할 수 있다”고 밝혔다.

이러한 XSS 취약점은 서버의 피해보다 홈페이지를 이용하는 고객정보를 갈취할 수 있으며, 피싱, 웜 바이러스 배포 사이트로 리다이렉트 됨으로써 공격의 여파가 커질 수 있다. 또한, 관리자 세션을 이용하여 관리자의 특수한 기능을 악용해 악성코드 업로드를 통해 시스템 권한 획득까지 할 수 있기 때문에 해당 홈페이지 이용자 및 관리자는 각별히 주의를 해야 한다.

국제정보보안센터 CERT팀 박현영 씨는 “해당 취약점을 막기 위해서는 보안코딩이 급선무이며, 화이트리스트 방식으로 안전한 HTML 태그만 허용해야 한다. 이 외에사용자들은 팝업 차단의 생활화를 통해 대응할 수 있다”고 전했다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>