소셜 네트워크 서비스 싸이월드에서 XSS 취약점이 발견됐다. 이 XSS 취약점은 브라우저에 기본적으로 지원하는 XSS 필터가 있어도 우회되어 공격이 가능해 각종 보안위협에 노출될 수 있어 위험한 취약점이다.

 
크로스 사이트 스크립팅(XSS) 취약점은 웹 애플리케이션에서 많이 나타나는 취약점 중 하나로 웹사이트 관리자가 아닌 외부 침입자가 웹 페이지에 악성 스크립트를 삽입할 수 있는 취약점이다.
 
이를 통해 공격자는 사이트 사용자의 정보를 탈취할 수 있고 자동으로 비정상적인 기능을 수행하게 할 수 있어 주의해야 한다.
 
OWASP도 “XSS 취약점은 애플리케이션이 신뢰할 수 없는 데이터를 가져와 적절한 검증이나 제한 없이 웹 브라우저로 보낼 때 발생한다. XSS는 공격자가 피해자의 브라우저에 스크립트를 실행해 사용자 세션 탈취, 웹 사이트 변조, 악의적인 사이트로 이동할 수 있다”고 경고하고 있다.
 
또 “피해자의 세션 ID가 공격자의 웹사이트로 전송되며, 공격자가 사용자의 현재 세션을 이용할 수 있다. 또한 공격자는 XSS를 사용해서 애플리케이션이 적용한 자동화된 CSRF 방어를 무력화할 수 있다”고 전한다.
 
한편 OWASP는 XSS 예방 방법에 대해, XSS를 방지하려면 활성 브라우저 콘텐츠와 신뢰할 수 없는 데이터를 분리해야 한다고 말한다. 예방법은 아래와 같다.
 
◇선호하는 방법은 HTML 문맥(본문, 속성, 자바스크립트, CSS, 또는 URL)에 따라 모든 신뢰할 수 없는 데이터를 올바르게 이스케이핑하는 것이다.
 
◇또한 XSS를 방지하기 위해서는 입력 값 검증 시 포지티브 또는 화이트리스트 방식을 권장한다. 하지만 많은 애플리케이션에서 입력 값에 특수 문자가 필요하기 때문에, 완벽하게 방어되지는 않는다. 이러한 유효성 검사는 입력으로 승인하기 전에 해당 데이터에 대한 길이, 문자, 형식 및 사업적 규칙 유효성을 검사해야 한다.
 
◇XSS를 방어하기 위해 전체 사이트에 콘텐츠 보안 정책 (CSP)을 고려해야 한다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com