NHN(대표 김상헌)이 운영하는 국내 유명 포털 사이트 네이버(Naver)에서 제공되는 컨텐츠인 카페와 블로그의 게시판 어플리케이션인 스마트 에디터(Smart Editor)에서 XSS 취약점이 발견되었다. 이에 대한 사용자들의 주의가 요구된다.
 
이 취약점을 최초 발견한 국제정보보안교육센터(i2sec) 강우석씨는 “이번 취약점 테스트는 비공개 카페의 임시 게시판에서 사설 IP를 이용해 안전하게 진행 되었다”며 “네이버측에도 전달한 사항이다. 신속한 패치가 이루어져야 할 것”이라고 강조했다.
 
하지만 네이버측은 데일리시큐에서 25일 해당 취약점에 대해 문의를 하고 패치 여부를 확인했지만 정확한 답을 하지 않은 상황이다. 
 
다음은 취약점 테스트 과정이 어떻게 이루어졌는지 강우석씨의 테스트 과정을 살펴보겠다.  

 
강씨는 “embed와 object 태그는 html 환경에서 동영상이나 플래시 등의 영상물을 링크하는 용도로 사용 되고 있다”며 “그러나 태그의 type 속성으로 text/html 혹은 text/plain과 같은 문서 형식의 타입을 지정해 웹문서 혹은 php, asp 등의 웹 어플리케이션을 링크 할 경우 iframe 태그 형식으로 해당 페이지를 불러 올 수 있는 것을 확인했다”고 설명했다.   

 
그는 해당 취약점을 인지도가 높은 브라우저들의 환경에서 각각 테스트하기 위해 최신 업데이트를 한 뒤 임의의 스크립트가 작성 된 웹 페이지를 각 사용된 태그마다 노출시켰다고 한다.

 
테스트 결과, 사용 빈도가 높은 익스플로러 9, 크롬, 사파리 브라우저들이 모든 태그에 동작했으며 파이어폭스의 경우 object 태그에만 동작 된 것을 확인 할 수 있었다고 한다.
 
결론적으로 강씨는 “사용자는 자신이 직접 요청하지 않은 웹 페이지나 어플리케이션을 강제로 요청하기 때문에 CSRF(크로스 사이트 요청 위조), 피싱, 악성코드 유포와 같은 XSS 응용 공격에 대해 노출될 수 있다”고 밝혔다.
 
CSRF(Cross-site request forgery)는 크로스 사이트 요청 위조(혹은 사이트간 요청 위조)로 해석되며 웹사이트 취약점 공격의 하나로, 사용자가 자신의 의지와는 무관하게 공격자가 의도한 수정, 삭제, 등록 등의 행위를 특정 웹사이트에 요청하게 하는 공격을 말한다. 유명 경매 사이트인 A사에서 발생한 개인정보 유출 사건에서 사용된 공격 방식 중 하나로 알려져 있다.
 
즉, 일단 사용자가 웹사이트에 로그인한 상태에서 사이트간 요청 위조 공격 코드가 삽입된 페이지를 열면 이후에는 사용자의 행동과 관계 없이 사용자의 웹 브라우저와 공격 대상 웹사이트 간의 상호작용이 이루어진다.
 
XSS(cross-site scripting)는 크로스 사이트 스크립팅으로 웹 애플리케이션에서 많이 나타나는 취약점의 하나로 웹사이트 관리자가 아닌 이가 웹 페이지에 악성 스크립트를 삽입할 수 있는 취약점을 말한다. 주로 여러 사용자가 보게 되는 게시판에 악성 스크립트가 담긴 글을 올리는 형태로 공격이 이루어진다. 이 취약점으로 해커가 사용자의 쿠키, 세션 정보 등을 탈취하거나, 자동으로 비정상적인 기능을 수행하게 하거나 할 수 있어 주의해야 할 취약점이다.
 
국제정보보안교육센터(i2sec) 강우석씨는 “embed, object와 같은 태그는 해당 컨텐츠의 서비스에서 중요한 요소기 때문에 사실상 사용을 막기 곤란하다”며 “서비스에 중요한 태그 일수록 경우의 수를 두어 속성 값에 대해 확실히 보안 하는 것이 중요하다”고 조언했다. 
 
데일리시큐 길민권 기자 mkgil@dailysecu.com