최근 포털사이트와 소셜커머스 등 일반사용자의 접근이 많은 사이트에 방문객을 대상으로 하는 악성코드 공격이 증가하고 있어 각별한 주의가 필요한 상황이다.
 
이에 GS칼텍스에 근무하는 윤현호(r3dcat) 제보자는 “접속자들이 많이 몰리는 주요 포털사이트와 소셜커머스 방문자를 대상으로 하는 공격들이 증가하고 있어 이에 대한 주위 환기를 위해 제보하게 됐다”며 “국내 주요 포털사 카페 내 게시판에서 방문자에게 악성코드를 유포하거나 카페관리자가 읽기만 해도 해킹을 당할 수 있는 취약점을 발견했다. 특히 해당 포털사이트는 이런 유형의 공격을 제한할 목적으로 HTML 무력화 태그(XMP)를 통해 입력되는 값에서 SCRIPT나 HTML을 입력 할 수 없도록 했지만 이를 우회해 악의적인 SCRIPT나 HTML을 입력 해 실행할 수 있는 취약점을 발견해 사이트 관리자와 KISA 그리고 데일리시큐에 제보하게 됐다”고 전했다.

 
취약한 부분은 해당 포털 카페 게시판 전체에 해당된다. 포털 카페의 모든 게시판에서 XSS 공격이 가능한 상황이다.
 
윤현호 제보자는 “XSS(Cross Site Scripting) 공격은 OWASP Top 10에서도 주요 취약점으로 지정한 유형으로 해커가 악성행위를 유발할 수 있는 게시물을 포털 카페에 등록하고 이 게시물을 방문객 또는 관리자가 읽을 경우 브라우저가 최신 버전으로 업데이트가 안되어 있을 경우 악성코드에 감염되어 좀비PC가 되거나, 카페의 방문객의 계정 또는 관리자 권한을 탈취할 수 있는 세션을 도용 공격 등이 가능한 취약점”이라며 “해당 카페의 자바스크립트 또는 IFRAME과 같은 공격을 일으킬 수 있는 TAG에 필터링이 제대로 되지 않아 발생하는 문제”라고 지적했다.
 
제보자는 특정 포털의 과실로 비추어지지 않기를 바래 포털의 실명을 거론하지 않았으며 현재 해당 업체와 KISA에 취약점 제보를 통해 패치가 진행중이다.
 
그는 또 대응방안에 대해 “</XMP> TAG를 Null로 치환하지 않고 다른 문자열 형태로 치환하는 필터 함수를 구현할 것”을 권고했다. 현재 미패치 상태이기 때문에 해당 포털 측의 신속한 보안패치를 통해 이용자들에게 피해가 발생하지 않도록 해야 할 것이다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com