클리앙 홈페이지에서 XSS취약점이 발견됐다. HTML 편집기능을 이용해 우회된 스크립트 입력시 스크립트가 필터링 되지 않고 그대로 실행되는 것이 문제다.
 
해당 취약점을 발견하고 데일리시큐에 제보한 이영훈(전남대 컴퓨터정보통신공학)씨는 “클리앙 사이트의 HTML 편집기에서 style 태그에 대한 필터링이 제대로 이루어지지 않았기 때문에 취약점이 발생하고 있다”며 “지난 10월 14일 클리앙 버그 게시판에 통보한 상태다. 신속하게 패치가 이루어질 수 있길 바란다”고 밝혔다.
 
이러한 취약점을 방치할 경우 어떤 위험성이 존재할까. 그는 “이런 경우 해커가 자바스크립트를 통해 피싱, 웜 또는 바이러스 유포, CSRF, 세션 재사용 공격 등을 할 수 있다”며 “style태그에 대한 필터링을 강화해야 하고 다른 우회스크립트가 또 존재할 수 있기 때문에 여러 우회방법을 생각하면서 스크립트에 대한 방어 대책을 강구해야 안전할 것”이라고 권고했다.
 
데일리시큐는 해당 취약점을 KISA에 통보해 좀더 신속한 조치가 이루어질 수 있도록 할 예정이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com