수개월 전 구글이 개발하고 공개한 라이브러리...웹 서비스용 기능 가져
사용자 인터페이스 문제 때문에 입력 값 확인하는 절차 누군가 삭제해

[보안뉴스 문가용 기자] 오픈소스 자바스크립트 라이브러리에 얼마 전 적용된 변경점에서 XSS 취약점이 발견됐다. 이 때문에 구글 검색과 다른 여러 구글 제품 및 서비스들에 영향이 있는 것으로 알려졌다.


이는 일본의 보안 전문가 마사토 키누가와(Masato Kinugawa)가 발견한 내용으로, 처음에는 구글 검색에서 XSS 취약점이 발견된 것 같았다. 구글 검색의 XSS 취약점은 치명적인 위험 요소로 작용할 수 있고, 반대로 공격자들에게는 굉장히 유용한 공격 도구가 될 수 있다.

또 다른 보안 전문가인 라이브오버플로우(LiveOverflow)가 실시한 분석에 의하면 XSS 취약점은 구글 검색에서 자체 발생한 것이 아니라, 클로져(Closure)라는 이름의 라이브러리에서부터 나온 것이었다. “클로져라는 라이브러리가 사용자의 입력 값을 제대로 확인하거나 거르지 않아서 생기는 문제입니다.”

클로져는 광범위한 자바스크립트 라이브러리로 구글이 디자인했고, 복잡하고 확장성이 용이해야 하는 웹 애플리케이션들을 위한 기능들을 가지고 있다. 구글은 클로져를 오픈소스로 공개했고, 스스로도 많은 애플리케이션들에 적용하고 있다. 여기에는 구글 검색, 지메일, 구글 지도, 구글 독스 등이 포함된다.

취약점이 처음 생긴 건 2018년 9월 26일로 보인다. 누군가 사용자 인터페이스 디자인 문제 때문에 입력 값 확인 절차를 삭제한 것이 바로 이 날이다. 이 문제는 2019년 2월 22일 해결됐다. 구글이 9월 26일에 있었던 변화를 되돌린 것이다. 즉 롤백 형태의 패치가 이뤄진 것이라고 볼 수 있다.

이러한 ‘롤백’을 시행하고 나서 개발자들은 코멘트를 달았다. HTML의 입력 값 확인 기능과 관련이 있다는 내용으로, 구글 웹 서버(Google Web Server) 소프트웨어에 XSS 오류를 일으킨다는 점이 이 코멘트를 통해 확인된다. 라이브오버플로우는 “라이브러리로 인한 XSS 취약점이 구글 검색에 주로 집중되어 있는데, 아마 구글의 다른 제품들에도 있을 것”이라고 추측하고 있다.

현재까지 구글이 이를 발견한 마사토 카누가와에게 버그바운티 보상을 실시했는지는 확실히 알 수가 없다.

한편 라이브오버플로우는 이 취약점과 문제를 설명하기 위해 ‘XSS on Google Search’라는 제목의 동영상을 유튜브에 올리기도 했다.

3줄 요약
1. 구글이 개발하고 오픈소스로 개방한 자바스크립트 라이브러리, 클로져.
2. 복잡하고 광대한 웹 서비스에 사용할 수 있는 기능 가지고 있고, 구글 스스로도 여러 서비스에 활용함.
3. 그런데 이 라이브러리에서 XSS 취약점 나타남. 따라서 구글 검색 창에서도 XSS 공격 가능함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>