온라인게임 트릭스터 홈페이지 자유게시판에서 XSS 취약점이 발견됐다. XSS(Cross Site Scripting)취약점은 정보유출 사고를 발생시킬 수도 있는 웹 취약점으로 OWASP에서도 담당자의 각별한 주의를 요구하는 취약점이다.

 
해당 취약점을 발견하고 데일리시큐에 제보한 이영훈(전남대학교 컴퓨터정보통신공학전공)씨는 “트릭스터 홈페이지에는 HTML모드로 변경할 수 있는 버튼이 없어, 게시판내에서 스크립트를 삽입할 수 없지만, 글을 올릴 때, 프록시툴을 사용해 전송되는 문자열에 스크립트를 추가해 전송하면 스크립트가 필터링되지 않고 그대로 실행되었음을 알 수 있다”며 “해커는 이러한 스크립트를 통해 피싱, 웜 또는 바이러스의 배포, CSRF, 세션 재사용 공격 등 을 할 수도 있어 보안조치가 필요하다”고 강조했다.

그는 해당 취약점은 9월 24일(화요일)에 발견하고 트릭스터 고객센터에 통보한 상태다.

취약점을 해결하려면 어떤 조치가 필요할까. 그는 “스크립트 뿐만 아니라 자바스크립트도 필터링 자체가 되지 않으므로, 스크립트에 대해 화이트리스트로 필터링을 해야 한다”며 “다른 우회스크립트가 또 존재할지도 모르기 때문에 여러 우회방법을 생각하면서 스크립트에 대한 방어책을 세워야 할 것”이라고 조언했다.
 
데일리시큐는 해당 취약점을 KISA에 전달해 신속한 보안조치가 이루어질 수 있도록 할 예정이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com