넥슨 사이트에서 쿠키로 로그인을 시도하면 보통 로그아웃 시켜버리지만 이 로그아웃을 회피할 수 있는 취약점이 존재한다는 제보가 들어왔다. 즉 쿠키가 탈취 당했을 경우 계정이 해킹당할 수 있기 때문에 신속한 조치가 필요하다.
 
해당 취약점을 발견하고 데일리시큐에 11월 2일 제보해 온 조성준(영덕중) 군은 “XX툴바(툴바명은 X로 처리)를 이용해 쿠키로 로그인하면 로그아웃이 된다. 하지만 XX툴바를 이용해서 쿠키를 수정할 수 있다”며 “IL이 1로 되어있었지만 이것을 0으로 수정하고 쿠키를 붙여넣어 적용시켜 새로고침하면 더 이상 로그아웃 창이 뜨지 않는다. 가끔 로그아웃이 되는 경우도 있지만 쿠키 재사용으로 다시 로그인이 가능하다”고 설명했다.

 
조 군은 “쿠키가 탈취되었을 경우 게임에 접속하지는 못하지만 웹에서 모든 활동을 할 수 있게 된다”며 “게시판에 글 작성도 가능하고 상점이 웹페이지에 존재하는 경우는 금전적 피해가 발생 할 수 있어 주의해야 한다”고 덧붙였다.
 
대응방안에 대해서도 제보해 왔다. 그는 “넥슨 측에서 IL 값이 1이 아닐 경우 로그아웃을 시키지 않는 것으로 보인다”며 “쿠키의 역할을 최소한으로 줄이고 서버 내에서 식별 절차를 철저히 해야 할 것으로 보인다”고 밝혔다.
 
현재 해당 취약점은 발견시 넥슨 측에 통보된 상태다. 데일리시큐는 해당 취약점에 대해 보다 신속한 조치가 이루어질 수 있도록 KISA에 전달해 보안조치가 이루어질 수 있도록 할 예정이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com