금전적인 피해 입을 수 있어 보안 조치 필요...
메가박스 측 “해당 취약점에 대한 패치 작업 완료” 

[보안뉴스 김태형] 온라인 영화 예매 사이트 메가박스(www.megabox.co.kr)에서 XSS(Cross Site Scripting) 취약점이 발견되어 이용자들의 주의가 필요하다.

이번 취약점을 발견한 PLUS SOFT 조성준 씨는 “XSS 취약점은 스크립트를 삽입해 웹 어플리케이션에서 순수하게 제공되는 동작 외에 부정적으로 일어나는 액션으로 웹에 해커가 스크립트를 심는 것이다. 이에 공격 대상은 서버가 아니라 클라이언트이다”라며 “해당 취약점에 대한 공격으로 클라이언트의 쿠키를 탈취할 수 있을 뿐만 아니라 csrf 공격에도 이용될 수 있고 클라이언트의 PC에 악성코드를 설치시킬 수 있다”라고 설명했다.

조 씨는 “‘<img src="#" onerror="alert(“cross site scripting”);">’와 같은 스크립트를 입력해보았다. 그 결과 ‘<img src="#" onerror="alert(’와 같이 필터링이 되어 결과가 나와 XSS 취약점 공격에 실패했다. window.open 등의 javascript도 모두 실패했다”고 말했다.

이어서 그는 “하지만 img 태그를 사용하면서 html 태그를 필터링하지 않는다는 걸 알아냈다. 그래서 외부 페이지에서 스크립트를 읽어 들이는 iframe 태그도 필터링되지 않았다. 스크립트를 입력해보니 알림창이 떴다. 이는 단지 알림 창을 띄우는데 사용했지만 이를 악용 가능한 스크립트(window.open, location 등)를 변경하면 클라이언트의 PC는 충분히 공격당할 수 있는 상황이다”라고 강조했다.

이와 같은 취약점을 악용한 공격의 피해 유형으로는 피싱, 악성 코드 설치 등이 있으며 악성코드가 설치되면 클라이언트는 장기간동안 key log, ID sniff, session sniff 등의 피해를 당할 수 있다. 결과적으로 금전적인 피해를 피하기 힘들다.

조성준 씨는 “해당 취약점은 html 태그 필터링을 하지 않아 발생하는 문제이다. javascript에 대한 필터링은 거치는 것으로 보인다. html 태그 필터링이 제대로 이뤄진다면 해결될 취약점이다”라고 덧붙였다. 현재는 해당 취약점을 메가박스 고객센터를 통해 전달한 상태이다. 

이에 대해 메가박스 측은 “해당 취약점에 대한 내용은 홈페이지 운영 및 관리를 하고 있는 대행사 측에서 이미 확인해서 리포트를 받고 패치 작업을 취하던 중이었다. 현재 이 취약점에 대한 패치 작업은 완료된 상태여서 문제는 없다”라고 말했다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>