국내 3곳의 파일 공유 사이트에서 XSS 취약점이 발견됐다. XSS(Cross Sit Scripting) 취약점은 흔하지만 다양한 해킹 공격에 이용될 수 있어 위험한 웹 취약점으로 분류하고 있다. 관리자의 적극적인 대처가 필요하다.
 
해당 취약점을 발견하고 데일리시큐에 제보한 박종현(도당고) 군은 “사용자들이 많은 파일 공유 사이트 3곳 빅파일, 클럽박스, 내디스크 사이트에서 XSS 취약점을 발견했다”며 “XSS 취약점은 사용자에게 악의적인 웹 컨텐츠나 URL, 악성코드 등을 유포할 수 있는 위험성이 있다. 사이트에 실행 코드와 태그의 업로드가 규제되지 않는 경우 발생하기 때문에 관리자의 보안조치가 필요하다”고 밝혔다.
 
취약점 패치 방안에 대해 박 군은 “특수문자 사용 제한(<>/ 등등), 글자 수 제한, 허용 가능한 데이터만 필터링하도록 제한해야 하고 데이터가 코드로 해석되는 것을 방지해야 안전할 수 있을 것”이라고 조언했다.
 
만약 XSS 취약점을 방치할 경우, 악성코드 또는 악성 URL이 유입되거나 악의적인 웹 컨텐츠가 전송되어 이를 열람한 사용자의 개인정보나 쿠키가 유출될 수 있어 주의해야 한다.
 
데일리시큐는 해당 취약점을 KISA에 전달해 보안조치가 이루어질 수 있도록 할 예정이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com