아프리카TV에 XSS 취약점이 발견됐다는 제보가 들어왔다. XSS 취약점은 웹 취약점 중에서도 상당히 위험한 보안 사고를 유발할 수 있어 관리자들의 각별한 주의가 요구되는 취약점이다.
 
이번 취약점을 발견하고 데일리시큐에 제보한 손진혁(내성중) 군은 “img 태그를 사용할 때 외부서버에서의 이미지는 차단되어 있지만 내부서버에서의 이미지는 불려지는 것을 이용해 코드를 작성해 실험 해 보면 스크립트가 실행되는 것을 알 수 있다”며 "취약점 패치가 빨리 이루어져 보안사고가 발생하지 않았으면 하는 마음에 제보하게 됐다"고 상세 리포트를 보내왔다.
 
이런 취약점을 방치할 경우 악성 스크립트를 실행해 CSRF 공격을 행하거나, 사이트 리다이렉트를 통해 다른 사이트로 이동해 피싱, 파싱, 개인정보 유출 등의 2차 피해로 이어질 수 있어 주의해야 한다.
 
취약점 패치 방안에 대해 손 군은 “해당 사이트 img 태그의 onload 함수를 차단해야 한다”고 조언했다.
 
데일리시큐는 해당 취약점을 사이트 담당자와 KISA에 전달해 보안조치가 될 수 있도록 할 예정이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com