국내 도서 및 해외 도서 주문 사이트로 유명한 ‘강컴닷컴’ 홈페이지에 XSS 취약점이 발견돼 보안조치가 필요한 상황이다.
 
이 취약점을 발견하고 데일리시큐에 제보한 박병욱(경성대학교 컴퓨터공학부)씨는 “지난 9월 5일 해당 취약점을 발견하고 강컴닷컴에 보안조치를 권고했다”며 “사이트의 서평쓰기 부분과 자유게시판 글쓰기 부분에 XSS 취약점이 발견됐다”고 상세 리포트를 보내왔다.

 
박씨는 “테스트는 하지 않았지만 CSRF 공격도 가능해 보인다”며 “서평 부분과 자유게시판 글 부분에 발생하는 XSS 취약점은 너무도 간단한 스크립트라는 태그 형태로 공격이 가능하다. 특히 자유게시판 부분에 데스트는 해보지 않았지만 CSRF 취약점이 의심된다. 태그에 대한 필터링이 전혀 없는 듯 하다. 사이트 전반에 대한 보안컨설팅을 한번 받아보는 것이 안전상 좋을 것으로 보인다”고 권고했다.
 
이 취약점에 대한 보안대책으로 그는 “서평 부분에 HTML 태그에 대한 HTML 인코딩과 태그가 입력된 서평은 생성시 에러가 발생한다. 게시판 부분에 대한 HTML 사용을 막아야 하며 제목 및 내용에 태그에 대한 HTML 인코딩, 제목 및 내용에 태그 존재시 필터링 등이 필요해 보인다”고 조언했다.
 
데일리시큐는 해당 취약점을 KISA에 전달해 보안조치가 이루어질 수 있도록 할 예정이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com