네이버 카페 게시글, XE보드 등에서 XSS와 CSRF 취약점이 발견돼 보안조치가 필요한 상황이다. 해당 취약점을 통해 개인정보 유출이나 관리자 권한 탈취 등 사이버 피해가 발생할 수 있다.
 
해당 취약점을 발견하고 데일리시큐에 제보한 손진혁(내성중) 군은 “외부에 악성 스크립트 생성 뒤, 네이버 카페 게시글 작성 시에 HTML 편집기에서 object 태그를 사용해 데이터 부분에 특정 스크립트를 호출할 경우, 그대로 작동될 수 있다”며 “또한 XE보드에서 최신버전인 1.7.3.6버전에서 확인 해 본 결과 하이퍼링크를 생성할　때 주소를 적는 부분에 네이버 카페와 같이 object 태그를 사용해 악성 스크립트를 삽입 시에 동작하는 것이 확인되었다”고 보안조치를 당부했다.
 
이러한 취약점을 방치할 경우, 어떤 보안위협들이 발생할까. 손 군은 “네이버 카페에서는 카페 탈퇴, 쪽지 보내기 등 로그인 세션이 유지된 채 로 할 수 있는 모든 행동이 가능하며, 악성 스크립트를 이용해 다른 사이트로 이동시켜 개인정보를 빼내 2차, 3차 피해로 이어질 수 있다”며 “또한 XE보드에서는 CSRF를 이용해 관리자 권한 탈취까지 가능한 것이 확인되었고, 바이러스 배포, 피싱 등의 2, 3차 피해가 우려된다”고 강조했다.
 
취약점 패치 방안에 대해서는 “네이버 카페에서는 object 태그 사용 시 서버에서 필터링이 필요하고 XE보드 측에서는 하이퍼링크에 태그 사용이 되는 것의 패치가 필요하다”고 덧붙였다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com