포털 다음(최세훈 대표)이 운영하는 티스토리블로그에 XSS 취약점이 발견됐다. 이번 취약점을 발견한 보안전문가 권 모씨는 “티스토리의 XSS 취약점을 지난해 처음 발견했고 올해 2월과 6월 그리고 최근까지도 그대로 존재하고 있다는 것을 확인했다”고 밝혔다.
 
이 취약점에 대해 그는 “티스토리 블로그는 게시물을 html 태그를 이용해 작성하는 것이 가능하다. 그 중 <script> 등의 기본적으로 취약한 html 태그가 필터링되지 않고 그대로 허용되고 있는 것이 문제”라고 지적했다.

 
티스토리가 조치할 사항에 대해 “우선 <script> 태그를 사용하게 되면 다른 문자로 치환을 시키거나 하는 방법으로 서버 단에서 html 태그에 대해 검증해 사용할 수 없도록 하는 조치가 필요하다”며 “확인해 보지는 않았습니다만, <embed> 태그나 <object>, <iframe> 태그 등의 XSS 를 유발할 수 있는 html 태그도 사용 가능할 수 있기 때문에 이에 대한 부분도 추가적으로 확인해보는 것이 좋을 것”이라고 조언했다.
 
티스토리 블로그 XSS 취약점을 이용한 공격으로는 공격자가 웹 서버를 열고 쿠키를 자신의 웹 서버로 전송하는 스크립트를 게시물에 삽입해 사용자들의 쿠키값을 알아낼 수 있다.
 
권 씨는 “쿠키 값을 이용해 추가적인 행위에 대해서는 조심스러워 별도로 테스트해보지는 않았지만 해당 값을 획득한 후에도 해당 계정의 세션 탈취 등이 어렵도록 별도의 조치가 있는지는 잘 모르겠다. 하지만 쿠키값은 중요 정보인 만큼 문제가 될 소지가 있다”고 우려했다.
 
또한 “공격자 웹 서버에 악성 스크립트를 올려 놓은 상태에서 해당 URL로 리다이렉트시키는 게시물을 사용자들이 열람하게 된다면 큰 문제가 발생할 수 있지 않을까 걱정된다”고 덧붙였다.
 
다음 티스토리측은 신속한 보안조치가 있어야 할 것이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com