넥슨 홈페이지에서 Flash XSS 취약점이 발견됐다. 액션스크립트가 포함된 swf(플래시파일)를 넥슨홈에서 영상링크로 걸면 되는 취약점이다.
 
이번 취약점을 발견하고 데일리시큐에 제보한 NST(New Security Technology) 소속 이상명씨는 “해당 취약점은 1월 7일 발견한 취약점”이라며 “Flash에는 특정 행동을 할 수 있게 액션 스크립트(Action Script)를 넣을 수 있다. 이러한 액션 스크립트가 실행되기 때문에 쿠키탈취와 같은 악의적인 목적으로 만들어진 액션 스크립트를 방지하기 위해서, Flash를 업로드 할 때에 액션 스크립트를 제어하는 embed옵션을 추가 해주어야 하는데 해주지 않아서 이런 문제가 발생하는 것”이라고 설명했다.
 

 
이 취약점이 발생하는 원인에 대해 제보자는 “allowscriptaccess, allownetworking, enablehtmlaccess, allowhtmlpopupwindow와 같은 embed옵션을 추가 해주지 않아서 발생한 것”이라고 덧붙였다.
 
또 “해당 취약점을 해결하려면 swf(플래시파일)을 업로드 할 때에 액션 스크립트방지를 위해 allowscriptaccess="never" allownetworking="internal" enablehtmlaccess="false" allowhtmlpopupwindow="false"와 같은 embed옵션을 추가해 주어야 한다”고 조언했다.

이번 XSS 취약점에 대해 넥슨 측은 "넥슨 사이트에서 2차적으로 비밀번호로 보호하고 있고 소스 레벨에서의 근본적인 해결을 위해 ‘보안 모듈’을 이용해 내부적으로도 노력하고 있어 침해사고가 발생할 확률은 거의 없다"고 강조했다. 
 
데일리시큐 길민권 기자 mkgil@dailysecu.com