국내 주요 신문사·방송사 웹사이트, XSS 취약점 잇달아 발견

XSS 취약점 유형 2가지...각 언론사별로 꼼꼼히 체크해야    

[보안뉴스 민세아] 국내 유명 언론사 홈페이지 게시판과 검색창 등에서 XSS(Cross Site Scripting) 취약점이 잇달아 발견되고 있다. 올해 들어 발견된 언론사 사이트만 5곳에 달해 밝혀지지 않은 웹사이트는 더욱 많을 것으로 추정된다.

XSS 취약점은 크게 Stored XSS와 Reflected XSS로 나뉜다. Stored XSS는 서버에 해커가 스크립트를 저장해두고, 사용자가 스크립트가 저장된 악성 게시글을 열람할 때 스크립트가 실행되는 방식이다. 해당 취약점으로 인한 가장 큰 피해는 웹에서 세션정보를 탈취당하거나 악성링크로 자동으로 연결되는 것이다.

본지에서 보도했던 국내 케이블 방송사 JTBC, MBN 웹사이트와 MBC 시청자게시판이 Stored XSS 취약점을 가지고 있었다. HTML 태그에 대한 필터링이 되지 않는 문제때문에 시청자게시판 등에서 스크립트가 실행됐다.

Reflected XSS는 비교적 위험도가 낮은 취약점이다. 이는 검색창이나 URL에 스크립트를 넣어 실행시키는 방식으로, 스크립트를 사용자에게 실행시키도록 하기 위해 악성링크를 만들어 클릭하도록 유도하는 방법이 주로 사용된다. 해당 취약점은 중앙일보의 온라인사이트인 조인스닷컴과 디지털타임즈 웹사이트에서도 발견됐다.  

이러한 XSS 취약점은 인터넷 익스플로러(IE) 6, 7에서 발생하며 파이어폭스의 경우 모든 버전이 취약하다. 또한, 인터넷 익스플로러 8 이상 버전에서는 XSS 필터링 설정을 ‘사용 안함’으로 설정한 경우에 취약할 수 있기 때문에 사용자들의 각별한 주의가 필요하다.  

이번 디지털타임즈의 XSS 취약점을 발견한 울산상업고등학교 김태엽, 김동규 군은 “XSS 취약점 대응방안으로 검색을 시도할 때 ‘<’ 와 ‘>’ 라는 문자가 들어오면 삭제 후 검색결과를 보여주거나 아예 검색되지 않도록 해야 하며, 해당 취약점으로 인해 피해 받은 사람들이 인지할 수 있도록 그 위험성을 권고해야 한다”고 설명했다.

이와 관련 디지털타임즈 측은 “최근 웹사이트를 리뉴얼하는 과정에서 미처 파악하지 못한 부분이 있었던 것 같다”며 “바로 조치할 것”이라고 밝혔다. 

[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>