국내 인기있는 온라인 커뮤니티 D사 사이트에 Embed 같은 동영상·플래시 태그가 열려있어서 XSS 취약점이 발생한다는 제보가 들어왔다.  
 
이 취약점을 발견하고 데일리시큐에 제보한 분당대진고등학교 2학년 박종엽군은 “이 취약점을 이용하면 피싱사이트로 이동시켜서 정보를 빼올 수도 있고, 악성코드가 있는 페이지로 이동시켜서 사용자도 모르게 PC에 악성코드를 심을 수도 있다”며 주의를 당부했다.
 
특히 박 군은 “IE8은 embed가 허용되지 않아서 object나 iframe 태그를 이용해서 공격이 가능하다. 하지만 IE9와 사파리, 크롬은 embed 태그가 허용되기 때문에 사용자도 주의를 해야 한다”고 강조했다.
 
이에 대한 해결책에 대해 그는 “embed를 차단시키거나 관리자가 지정한 부분만 가능하게 해야 하는데 이건 거의 서비스를 없애는 수준이라서 방어율을 좋겠지만 사용이 제한될 수 있다”며 “이 공격을 막기 위해서는 사용자의 보안의식이 중요한 것 같다. 공격자가 직접 쿠키를 가져올 수는 없기 때문에 사용자로 하여금 정보를 입력하도록 유도할 수 있어 사용자가 주의해서 철저히 확인후 입력하는 것이 가장 좋은 방어대책이 아닐까 생각한다”고 의견을 냈다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com