경기도 포천 시청(www.pcs21.net) 사이트에서 XSS(크로스 사이트 스크립팅) 취약점이 발견됐다.
 
XSS란 ‘Cross site Scripting’의 줄임말로 서버가 아닌 클라이언트를 공격하는 기법이다. 공격자가 게시판 등에 스크립트를 삽입하면 클라이언트가 스크립트를 읽어 공격자의 스크립트가 실행되는 공격기법이다.
 
XSS 취약점은 OWASP에서도 주요 웹 취약점으로 경고하고 있어 웹 사이트 관리자의 각별한 주의가 요구된다.
 
악의적 공격자는 XSS 취약점을 이용해 사용자 쿠키 정보를 변경하거나 탈취할 수 있으며 정상적인 사용자에 대해 잘못된 정보를 보내줄 수도 있다. 또한 피싱 기법에도 활용될 수 있어 악의적인 사용자가 변조된 입력 폼을 제공함으로 다른 사용자의 정보가 노출될 수도 있어 주의해야 한다.

 
이번 취약점을 발견하고 데일리시큐에 제보한 유훈상(Team Pure 소속) 군은 “취약점 원인은 <body> <embed> <img src> <META Refresh> 태그와 onerror(img src) 속성을 이용한 XSS 공격”이라며 “작동 브라우저는 IE, 크롬, 파이어폭스 등이다”라고 설명했다.
 
데일리시큐는 해당 취약점을 KISA에 전달해 신속한 보안패치가 이루어질 수 있도록 할 예정이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com