경기 수원 지역 Y중학교 홈페이지에서 XSS 취약점과 CSRF 취약점이 발견됐다. 이용자 PC에 악성코드 설치나 다양한 공격을 시도할 수 있어 신속한 조치가 필요한 상황이다.
 
해당 취약점을 발견하고 데일리시큐에 상세 취약점 리포트를 보내온 조성준(PLUS SOFT 소속) 군은 “해당 학교의 두 취약점은 서로 연관돼 있으며 XSS 취약점을 악용할 경우 클라이언트 PC를 얼마든지 공격할 수 있는 위험성이 존재한다”고 밝히고 “CSRF 취약점은 관리자 글을 수정하거나 비번을 바꾸는 등 다양한 공격이 가능해 위험한 상황”이라고 신속한 보안조치를 요구했다.

 
우선 XSS 취약점에 대해 조 군은 “XSS(cross site scripting)는 스크립트를 삽입해 웹 어플리케이션에서 순수하게 제공되는 동작 외에 부정적으로 일어나는 액션이다. 한마디로 웹에다가 해커가 script를 심는 것이다. 공격 대상은 서버가 아니라 클라이언트다. XSS 취약점에 대한 공격으로 클라이언트의 쿠키를 탈취할 수 있을 뿐만 아니라 CSRF 공격에도 이용될 수 있고 클라이언트 PC에 악성코드를 설치시킬 수 있다”고 설명했다.
 
또 “이 취약점을 악용 가능한 스크립트를 변경하면 클라이언트 PC는 충분히 공격당할 수 있는 상황”이라며 “피해 유형으로는 피싱, 악성코드 설치 등이 있으며 악성코드가 설치되면 클라이언트는 기간동안 키로그, ID 탈취, 세션 탈취 등의 피해를 당할 수 있다. 결과적으로 금전적인 피해를 피하기 힘들다”고 전했다.
 
더불어 “XSS 취약점은 필터링이 제대로 이루어지지 않아 발생한다. 필터링을 더 확실히 하면 이 취약점은 해결 될 것”이라고 조언했다.
 
한편 CSRF(CROSS SITE REQUEST FORGERY) 취약점에 대해서도 조 군은 “XSS는 외부에 있는 해커의 서버에 취약점을 전달하는 것이고, CSRF는 취약점을 제공하는 내부서버를 이용 form문으로 클라이언트에 명령하는 것”이라며 “XSS는 이용자의 세션을 해커의 서버에 보내는 것이고 CSRF는 이용자의 세션을 이용해 공격이 이루어지는 것이다. 해당 사이트는 CSRF 공격에 대비해 필터링을 해두었지만 이 필터링도 XSS 취약점으로 인해 무용지물이 되었다”고 설명했다.

 
조 군은 “이 CSRF 취약점은 referer(기존에 위치했던 링크)를 참조하지 않아 발생하는 취약점이다. 또한 해당 학교 사이트의 CSRF 취약점은 XSS 취약점과 연관되어 있다”며 “XSS 필터링을 확실히 하고 referer를 참조하게 하면 이 취약점은 해결될 것이다. 그리고 자체적으로 해결하기 보다는 보안 컨설턴트를 이용해 취약점 제거를 하는 것이 좋을 것”이라고 권고했다.

데일리시큐는 해당 취약점에 대해 KISA에 전달해 신속한 보안조치가 이루어질 수 있도록 할 예정이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com