2024-03-29 21:20 (금)
은행계좌 자가 인식해 빼내가는 XSS공격툴 등장
상태바
은행계좌 자가 인식해 빼내가는 XSS공격툴 등장
  • 길민권
  • 승인 2011.12.20 07:08
이 기사를 공유합니다

해커, 피싱보다 강력하고 위험한 XSS 공격용 코드 개발
크로스사이트스크립팅(XSS)공격이란 게시판, 웹 메일 등에 삽입된 악의적인 스크립트에 의해 페이지가 깨지거나 다른 사용자의 사용을 방해하거나 쿠키 및 기타 개인정보를 특정 사이트로 전송시키는 공격을 말한다. 이를 이용해 한 해커가 사용자 정보를 빼낼 수 있는 공격용 코드를 만들어 공개한 사건이 발생했다.
 
16일 외신에 따르면, 한 해커가 사용자의 정보를 빼내가는 가장 일반적인 피싱보다 훨씬 더 강력하고 위험한 이른바 XSS 공격용 코드를 만들어 공개했다고 보도했다.
 
해커 니콜라스 페너스트랜드는 지난 10월 아메리칸익스프레스 웹사이트에서 디버깅 툴이 XSS결함에 취약하다는 것을 발견했다. 또 스웨덴 모 은행 웹사이트상에서도 비슷한 결함이 있다는 것을 발견했다. 이러한 가운데 ‘스테로이드 맞은 XSS'라는 공격 툴을 개발한 것이다.
 
해커는 “그동안 XSS가 오직 피싱과 쿠키를 통한 정보수집에만 사용된다고 알고 있었지만 이 코드는 그런 상식을 뒤집고 불안정한 XSS를 잠복기가 길면서 잘 없어지지 않는 상태로 전화시켜 준다”고 설명했다.
 
또한 “이 공격코드는 사용자들의 페이지 형태에 따라 들어가서 사용자 이름이나 패스워드, 신용카드 정보 같은 개인 데이터를 공격자에게 제공하도록 만든다”고 덧붙였다.
 
이 해커는 은행들이 적절하지 못한 보안장치를 폭로하는 방법의 일환으로 자신이 개발한 공격코드를 자신의 웹사이트에 발표했다.
[데일리시큐=길민권 기자]
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★