포털사이트 다음(Daum)의 이메일과 블로그에서 주요 웹취약점인 XSS 및 CSRF 등 보안취약점이 발견됐다. 보안조치가 필요하다.
 
해당 취약점을 발견하고 데일리시큐에 제보한 이태경(경상고) 군은 “다음 이메일과 블로그에 embed 태그를 통한 악성사이트 주입이 가능한 상태”라며 “<embed src=http://naver.com></embed> 코드를 사용할 시에 네이버가 해당 메일과 블로그 글에 그대로 삽입되어지는 것을 알 수 있다. 악의적 해커들이 embed 태그의 속성에서 길이와 크기를 0으로 만들고 악성코드가 삽입된 홈페이지를 주입할 때, 악성코드 유포 등 각종 보안문제가 생길 수 있어 주의해야 한다”고 제보했다.

 
이 군은 상세한 취약점 내용을 보내왔으며 “해당 취약점을 이용할 경우 메시지 박스나 CSRF 등 다양한 보안 문제가 발생할 수 있다”고 덧붙였다.
 
또 “이메일인 경우에는 ‘표시되지않은 플래시 표시’를 눌러야만 해당 사이트가 실행되지만 혹시나 호기심에 눌러볼 경우 문제가 발생할 수 있다. 그리고 블로그는 그냥 실행되어진다. 물론 구글 크롬, 파이어폭스에서만 해당되는 취약점이다”고 설명했다.
 
제보자는 취약점 패치 방안에 대해 “Embed와 object를 통해 html 이나 기타 홈페이지를 삽입할 때 제한을 가해야 하고 XSS 같은 경우 코드 변형이 가능하니 변형되어진 코드를 필터링하고 차단해야 한다”고 말했다.
 
특히 이러한 취약점들은 악성코드 유포로도 악용될 수 있어 해당 사이트의 각별한 주의가 요구된다.
 
데일리시큐는 해당 취약점을 KISA에 전달해 보안조치가 이루어질 수 있도록 할 예정이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com