네이버 블로그와 모 부산지역 D중학교 학급 게시판 등 사용자들의 소통공간에서 XSS 취약점이 발견됐다는 제보가 들어왔다.
 
해당 취약점을 발견하고 데일리시큐에 제보한 고영민(소속 ProSoft) 군은 “네이버 블로그와 부산지역 D중학교 게시판에서 크로스사이트스크립팅(XSS) 취약점을 발견했다”며 “해당 취약점은 <object>태그를 막지 않아 악성 스크립트가 실행되는 것을 확인 할 수 있었다”고 설명했다.
 
실제로 제보자가 사용한 코드는 alert()함수를 사용해 경고창을 띄운 정도지만 실제 공격자였다면 쿠키값을 공격자 서버로 받아 쿠키 스푸핑이 가능하게 되는 상황이다.
 
고 군은 “특히 교육청에서 지원하는 학교사이트에서 학급홈페이지에 취약점이 있다는 것은 위험한 일”이라며 “<object>태그로 외부에서 데이터를 불러올 때 불러올 수 있는 화이트리스트 방식을 사용해 유명 SNS사이트 주소, 유튜브 등 주소만 화이트리스트에 추가해 공격자의 서버에서 불러오지 않도록 패치하는 것이 예방법일 것이다. 또 <object>태그 자체를 <script>처럼 필터링시키는 것도 방법이 될 수 있다”고 조언했다.
 
이러한 취약점을 방치할 경우 쿠키값을 가로채거나 키로깅이 가능하며 피해자의 계정으로 접속해 비밀글을 보는 등 2차 피해가 발생할 수 있어 주의해야 한다.
 
그는 또 “네이버 보안팀에 통보하려 했지만 네이버 고객센터에 보안 관련 목록이 없어 통보하지 못했다”고 밝히고 “취약점을 분석한 이유는 분석 후 제보해 취약점이 패치가 되길 바라는 마음에 데일리시큐에 제보하게 됐다”고 말했다.
 
국내 기업들은 고객센터란에 일반서비스 상담 목록 이외에 보안취약점 제보란을 마련해 적극적으로 제보내용을 받아들이고 개선하려는 노력이 필요해 보인다.
 
데일리시큐는 해당 취약점을 KISA에 전달해 보안패치가 이루어질 수 있도록 할 예정이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com