게시글 필터링 미조치로 인해 발생...아프리카TV, 보안취약점 수정 

[보안뉴스 김태형] 국내 대표적인 동영상 사이트인 아프리카TV 홈페이지(www.afreeca.com)의 개인방송국에서 XSS(Cross-Site Scripting) 취약점이 발견됐다가 현재는 조치 완료된 것으로 나타났다.

이 취약점은 ‘OWASP Top 10-A3’에 해당하는 취약점으로 악성스크립트를 의도와는 상관없이 실행시켜 해커의 서버로 연결되어 각종 악성코드나 쿠키 값을 전송하게 된다.

경성대학교 컴퓨터공학과 서상헌 군은 “해당 취약점의 경우 우회패턴 스크립트에서 발생했다. 이 취약점을 보완하기 위해서는 각 우회패턴에 대한 빠른 업데이트가 필요하다. 이번 취약점의 경우 아프리카TV 홈페이지의 개인방송국 메인에 노출되어 발생하는 만큼 각별한 주의가 필요하다”라고 말했다.

또한,그는 “이번 취약점 검증은 XSS 글을 작성해 업로드 한 이후에 스크립트를 실행해 보면 확인할 수 있다. 취약점 발생원인 및 작동원리는 ‘메인관리 - 대문 꾸미기- 작성 글’에 대한 필터링 미조치로 인해 발생하며 기본적인 script, object, frame 등은 막혀 있으나 다른 패턴에서 발생한다”라고 덧붙였다.

이러한 취약점으로 인해 공격자는 악의적인 목적의 웹서버로 연결시켜 악성코드를 전송해 쿠키값 등의 개인정보를 유출할 수 있다는 것. 이를 해결하기 우해서는 스크립트에 사용되는 특수문자에 대한 화이트리스트 방식으로 등록하고 팝업을 차단해야 하며 HTML 자체를 차단해 공격을 시작부터 방어해야 한다.

서상헌 군은 “취약점 내용을 해당 사이트 담당자에게 전달했으며,아프리카TV 은 담당 부서와의 협조를 통해 해당 취약점에 대한 수정을 완료했다”고 말했다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>