국내 유명 구인구직 사이트의 쪽지기능에서 XSS 취약점과 해당 사이트 일부 배너에서 리다이렉트 취약점이 발견됐다.
 
해당 취약점을 발견하고 업체 관계자에 통보해 패치에 도움을 준 김정훈(동명대 정보보호학과) 씨는 “지난 17일 경 해당 사이트의 취약점 2개를 발견하고 통보했으며 며칠 전 패치가 완료됐다는 통보를 받았다”며 “XSS취약점의 경우 쪽지를 주고받는 서비스에서 쪽지에 XSS 취약점 스크립트를 삽입후 전송시 필터링하지않는 것을 확인했다. 또 검증되지 않은 리다이렉트 포워딩 취약점도 발견됐다. 일부 배너를 클릭하면 외부 서버로 리다이렉트 되는 취약점이었다”고 설명했다.
 
취약점 발생 원인에 대해 그는 “XSS취약점의 경우 쪽지 본문으로 들어온 값을 검증하지 않아 아무런 제약없이 스크립트 동작이 가능했다”고 설명하고 “검증되지 않은 리다이렉트의 경우 특정파라미터(redirect)의 값을 통해 들어오는 URL을 검증하지 않았고 그 결과 외부의 서버로 리다이렉트가 되었다”고 전했다.
 
취약점 해결 방안에 대해서는 “XSS 취약점의 경우 화이트리스트 방식으로 안전한 HTML태그만 허용해야 하며 이용자들의 경우 팝업차단을 생활화 해 사용하면 안전성이 높아질 것”이라고 조언했다.
 
만약 해당 취약점들을 방치했을 경우에 대해서도 그는 “해당 XSS취약점의 경우 쪽지에서 발견되었기 때문에 관리자에서 직접 악성 스크립트가 삽입된 쪽지를 전송시 파급력이 클 것”이라고 밝히고 “또한 일반 사용자에게 악성스크립트가 삽입된 쪽지를 뿌려 악성코드를 유포하는 등의 행위를 할 수 있다. 그리고 리다이렉트 취약점의 경우 취약한 URL을 공유해 링크를 타고 들어올 경우 해당 사이트가 아닌 외부의 피싱 사이트로 연결되어 악성코드 유포가 가능하다”고 말했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com