강남대학교 사이트에서 XSS 취약점이 발견됐다. 해당 취약점은 정보유출 사고를 발생시킬 수도 있는 웹 취약점으로 OWASP에서도 위험공격으로 분류하고 있는 공격기법이다. 주의해야 한다.

 
해당 취약점을 발견하고 데일리시큐에 제보한 김우석(Hacurity, IT커뮤니티 Hacure 운영자)씨는 “글 본문에서 사용자가 작성한 스크립트가 동작해 발생하는 취약점이다. 9월 30일 발견하고 데일리시큐에 제보하게 됐다. 신속하게 조치가 이루어지길 바란다”고 밝혔다.
 
김씨는 “스크립트의 사용이 제한된 글 본문에서는 스크립트사용이 차단되지만 댓글에서는 스크립트가 차단되지 않아 그대로 전송되어 실행이 되고 있다”며 “댓글 이외에도 프록시툴을 이용해 본문내용을 조작해 글 본문에서도 스크립트를 삽입할 수 있는 점 등을 미루어보아 더 많은 취약점이 존재할 수도 있기 때문에 신속한 조치가 필요하다”고 강조했다.
 
그렇다면 어떤 조치를 취해야 할까. 그는 “스크립트, 자주 사용하는 태그를 < > 등의 태그로 치환하는 것이 취약점 해결을 위한 방안이 될 것”이라며 “두가지 이상의 방법으로 XSS공격이 가능한 점으로 미루어 보아 전문보안컨설팅을 받아볼 필요가 있어보인다”고 덧붙였다.
 
데일리시큐는 해당 취약점을 KISA에 전달해 신속한 조치가 이루어질 수 있도록 할 예정이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com