대한상공회의소 사이트에 악성 스크립트 입력 시 XSS 취약점이 존재하는 것으로 드러났다. 이를 통해 악성코드 유포 등 2차적인 보안위협이 발생할 수 있어 주의해야 한다.

 
해당 취약점을 발견하고 데일리시큐에 제보한 박재일(운중고) 군은 “해당 사이트 검색창에 특정 코드를 입력하면 XSS 취약점이 존재한다는 것을 알 수 있다”며 “해당 사이트 URL을 조작해 올려 접속자들이 클릭을 하게 될 경우 악성사이트로 이동을 시켜 악성코드를 다운로드 시킬 수 있어 주의해야 한다”고 경고했다.
 
해당 취약점은 인터넷 익스플로러6, 7에서 발생하며 파이어 폭스의 경우 모든 버전이 취약하다. 또한 인터넷 익스플로러 7이상 버전에서 XSS필터를 사용 안함으로 설정한 경우도 취약한 것으로 드러났다.
 
취약점 대응방안에 대해서 박 군은 “특수문자인 <>을 사용을 제한하는 방법이 있지만 <>을 사용해야 한다면 검색창에 스크립트문이 실행되지 않도록 시큐어 코딩을 하는 것이 확실하다”며 “또한 일반 사용자들은 익스플로러를 사용할 경우 XSS필터를 사용하는 것이 도움이 되며 파이어 폭스 유저들은 URL 등을 클릭할 때 주소를 꼼꼼히 확인해보고 클릭하는 습관을 갖는 것이 중요하다”고 강조했다.
 
데일리시큐는 해당 취약점을 KISA에 전달해 보안조치가 될 수 있도록 할 예정이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com