홈페이지 검색영역서 보안 취약점 발견!

[보안뉴스 김지언] 최근 들어 언론사를 대상으로 한 해킹사고가 끊이지 않고 있다. 많은 국내외 언론사 홈페이지가 해킹돼 악성코드가 유포되고 홈페이지가 마비되는 등 곤욕을 치르고 있기 때문이다.

잇따른 문제에도 불구하고 주요 언론사 홈페이지에서 취약점이 발견돼 관리 부실에 대한 우려의 목소리가 높아지고 있다. SBS CNBC와 MBC뉴스 홈페이지 검색영역에서 reflected XSS(Cross Site Scripting) 취약점이 발견된 것이다.

이번 취약점은 해당 언론사에서 사용자들이 입력하는 검색값을 필터링하지 않아 발생하는 것으로, 국제웹보안표준기구(OWASP)에서 선정한 가장 많이 발생하고 보안상 큰 영향을 줄 수 있는 상위 10가지 웹 취약점 항목 중 하나다.

이로 인해 다음과 같은 공격 시나리오가 가능하다.

1. 공격자가 악성스크립트를 작성해 검색영역에 입력한 후 주소창에서 URL을 복사한다.

2. 공격자는 사용자가 많은 인터넷 커뮤니티 게시판에 복사한 URL링크와 링크 클릭을 유도할만한 문구를 작성한다.

3. 공격자가 배포한 URL링크를 클릭하면 사용자는 악성코드 은닉사이트로 이동된다.

특히 낮은 버전의 인터넷익스플로러 사용자나 XSS 필터를 사용 하지 않을 경우 이러한 위협에 그대로 노출된다.

이에 사용자들은 URL 링크를 클릭하도록 유도하는 게시글 및 메시지 등에 유의해야 한다.

 

또한 항상 백신 및 인터넷익스플로러를 최신버전으로 유지하고 XSS 필터(인터넷익스플로러>도구>인터넷옵션>보안>사용자지정수준>XSS 필터 사용>사용)를 사용함으로써 인터넷익스플로러의 보안수준을 높여야 한다.

[김지언 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>