선플달기운동본부 사이트에 XSS 취약점이 발견됐다. XSS는 Cross Site Scripting의 약자로, OWASP 10대 웹 취약점에 등록된 취약점이다. 관리자의 적극적인 대처가 요구된다.
 
해당 취약점을 발견하고 데일리시큐에 제보한 박종엽(분당대진고) 군은 “선플달기운동본부는 전국의 학생들이 이용하는 웹 사이트이고 아름다운 인터넷환경 조성기관인 만큼, 빠른 패치가 될 수 있길 바란다”고 밝혔다.
 
박 군은 “XSS는 프로그래머의 시큐어코딩 능력의 부재 또는 안전하지 않은 코딩을 하는 프로그래머의 습관 때문에 생긴다고 볼 수 있다”며 “기본적으로 자바스크립트 때문에 발생하는데 프로그래머가 코딩과정에서 자바스크립트 속성을 제한한다면 XSS취약점에 대해 어느정도 방어가 될 것”이라고 설명했다.
 
또 “취약점 패치 방안은 방어코딩을 해야 한다. 치환계열의 함수를 이용해 자바스크립트 속성인 on과 script, document.cookie를 다른 문자열로 치환시키면 더 방어적으로 될 수 있을 것”이라고 조언했다.
 
만약 해당 취약점 방치하면 어떤 사고가 발생할 수 있을까. 그는 “방치한다면 사용자의 정보가 공격자에게 노출될 수 있으며 악성코드가 유포될 수 있다. 또 악성사이트로의 강제적인 이동이 가능하다”고 경고했다.
 
데일리시큐는 해당 취약점을 KISA에 전달해 패치가 이루어질 수 있도록 할 예정이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com