경기도 포천에 위치한 G중학교와 Y고등학교 사이트에서 XSS 취약점이 발견됐다. XSS란 Cross site Scripting의 줄임말로, 서버가 아닌 클라이언트를 공격하는 기법이며 공격자가 게시판 등에 스크립트를 삽입하면 클라이언트가 스크립트를 읽어 공격자의 스크립트가 실행되는 것이다. OWASP 10대 웹 취약점에 포함된 것으로 관리자의 신속한 조치가 필요하다.
 
이번 두 학교 웹사이트의 XSS 취약점을 발견하고 데일리시큐에 제보한 Team Pure 소속 유훈상 군은 “포천지역 G중학교와 Y고등학교 사이트에서 XSS 취약점이 발견돼 데일리시큐에 보안조치를 바라며 제보하게 됐다”고 밝히고 “작동 브라우저는 IE , Chrome, Firefox 등이다. 보안조치가 필요한 상황”이라고 전했다.
 
취약점 원인에 대해 유 군은 “<body> <embed> <img src> <META Refresh> 태그와 onerror(img src) 속성을 이용한 XSS 공격이 가능한 상황이다”라고 밝혔다.
 
데일리시큐는 해당 취약점을 KISA에 전달해 보안조치가 이루어질 수 있도록 할 예정이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com