간단한 해결책 있지만 사용자들이 실행하지 않아 필요 이상 확산중

[보안뉴스 문가용] 지난 10일 트위터에서 취약점이 발견됐다는 트윗이 퍼지기 시작했다. 퍼지고 퍼지다 급기야는 트윗덱이 일시적으로 다운되기에 이르렀다. 트윗덱은 트위터용 툴 중 하나다. 취약점을 발견했다는 트윗이 생성된 지 4시간 만에 트윗덱의 개발자들은 취약점을 고쳤다고 발표했다.

그러나 피해규모를 정확히 파악하기 위해 트윗덱의 서비스를 2시간 정도 더 있다가 재개했다. 이로 인해 악성코드는 이미 트윗을 타고 퍼질 대로 퍼진 상태였다.

트윗덱 측에서는 피해를 본 사용자수나 이 취약점을 활용한 공격횟수, 방법 등 정확한 피해규모를 밝히지는 않았다. 대신 아주 간단한 패치 방법을 제공했다. 트윗덱에서 로그아웃한 후 다시 로그인하는 것이다. 하지만 사용자들 사이에서 이 방법이 그다지 널리 퍼지지 않았다. 결국 트윗덱이 발표한 방침은 악성코드가 번지는 걸 효과적으로 막지 못했다.

“트윗덱에서 나름 초기 대응을 하고 금방 패치를 한 것 같습니다만 아직도 취약점을 활용한 악성코드가 트위터 안을 돌아다니고 있습니다.” 보안전문업체 래피드7(Rapid7)의 글로벌 보안전략 담당인 트레이 포드(Trey Ford)가 밝혔다.

“이 취약점 때문에 특정 트윗이 브라우저 내에서 악성코드로 변환됩니다. 그러면 시스템이 다양한 XSS 공격에 노출됩니다. 사용자 입장에서는 그냥 트윗을 한 번 읽었을 뿐인데 시스템이 온통 노출되는 것이죠. 현재 저희가 주목하는 공격방법은 ‘웜’입니다. 스스로를 복제해서 악성 트윗을 계속 생성해내죠. 이 웜이 구글 크롬용 트윗덱 플러그인부터 공격하는 것으로 보입니다.”

“트윗덱이 제시한 로그아웃하고 로그인하라는 방법은 간단하면서도 정답입니다.” 포드 담당자가 말을 이었다. “보통 XSS 공격은 사용자처럼 위장하기 위해 사용됩니다. 공격자가 마치 사용자 자신인 것처럼 계정에 로그인이 가능하게 되는 것이죠. 그러니 로그아웃을 하는 것만큼 간단하고 효과적인 방책이 없어요. 2006년도에 퍼졌던 마이스페이스 웜하고 비슷합니다. 다만 사용자가 공격자를 강제로 팔로우 하도록 하는 기능은 이번 웜에는 없더군요.”

XSS 취약점이 발견된 건 벌써 10년이 넘었다. 그러나 아직도 그 존재감은 건재해 온라인 공격의 30%가 바로 이 XSS로부터 비롯된다. 애플리케이션 보안전문회사 임퍼바(Imperva)의 베리 슈타이먼(Barry Shtieman) 대표이사는 “XSS는 시스템에 계속 남아있을 경우 다양한 공격을 가능하게 합니다. 개인정보, 금융정보가 새는 것은 물론 멀웨어도 아주 다양하게 깔릴 수 있습니다. 정말 귀찮고 끈적한 놈이에요”라며 진저리를 쳤다.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>