파일공유 사이트 중 하나인 K사 등에서 XSS 취약점이 발견됐다.(현재 해당 취약점은 제보자가 해당 업체에 통보해 16일 취약점이 제거된 상태다) 해당 웹하드에 회원가입 및 로그인을 하고 메뉴들 중 오른쪽에 위치한 요청자료를 클릭하신 뒤 자료요청을 2번 정도 누르면 요청 게시글을 작성하는 란이 나온다. 해당 글쓰기 창에서 ‘<script>xxxxx("XSS 취약점 테스트")</xxxxxx>’(일부 코드 x로 표기)라고 적은 뒤 게시글을 등록하고 해당 게시글을 확인해보면 스크립트가 실행되는 현상이 발생했다.

 
최근 이번 취약점를 발견해 데일리시큐에 제보한 TeamTMP 소속 이만희 학생(신흥고등학교)은 “해당 웹하드 뿐만 아니라 다른 웹하드에도 이와 같은 취약점이 있는 것으로 드러났다. 주민등록번호 유출이 웹하드를 통해 자주 발생하기 때문에 웹하드 사이트 관리자는 이러한 간단한 취약점들에 대해 보안을 철저히 하길 바란다”고 강조했다.
 
이번에 발견된 XSS(Cross Site Scripting) 취약점은 사이트에 악성 스크립트를 넣어서 감염을 시키는 웹해킹 기법이다. 해당 기법은 누구나 쉽게 스크립트를 쓸 수가 있으며 XSS 해킹이라고 구글 검색만 해봐도 여러가지 예제가 나오기 때문에 사이트 관리자는 더욱 주의해야 한다.
 
이 군은 또 “미디어박스에서 운영하는 파일공유사이트 쉐어박스에서도 <embed>, <img src="xxxxxx">, <object> 등과 같이 다른 스크립트를 통해 XSS로 세션을 갈취할 수가 있다는 것을 발견했다”고 밝혔다.
 
그는 “XSS 취약점이 있다는 것은 XSS 공격으로 인해서 사용자의 쿠키세션값이 공격자에게로 넘어가게 되는 것을 말한다”며 “대부분 거기서 쿠키값을 변조하고 나서 자신의 개인정보를 확인할 수 있는 마이페이지라는 곳을 보면 이메일 주소와, 실명, 휴대전화 번호가 노출된다. 아이디와 비밀번호를 동일하게 사용하는 경우 개인정보 유출로 이어질 수 있다”고 경고했다.
 
최근 사이버상에서 이런 경우가 자주 발생하고 있다고 한다. 그는 “개인정보가 유출되는 경로를 요약하자면 이렇다”며 “다른 커뮤니티 사이트에서 타인과 시비가 붙은 경우 웹하드에 존재하는 취약점들을 이용해 아이디와 패스워드를 획득하고 아이디와 비밀번호를 똑같이 쓰는 점을 이용해 커뮤니티에 로그인을 해서 개인정보를 확인하고 이를 유출하는 경우가 있다”고 설명했다.
 
이런 취약점을 개선하기 위해서 그는 “HTML 태그를 사용하지 못하게 하는 방법도 있고 <, >, script와 같이 XSS에 자주 쓰이는 태그들을 &lt와 같이 필터링해서 스크립트를 방지하는 방법도 있다”며 “손쉬운 방법이지만 중소규모 사이트에서는 이와 같은 방법들을 사용하지 않아 취약점에 노출되어있다”고 밝히고 개선을 요구했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com