국내 대형 여행사인 하나투어 사이트에 Reflective XSS 취약점이 발견됐다. 개인정보 유출에 의한 문제가 발생할 수 있어 신속한 조치가 필요하다.
 
이번 취약점을 발견하고 데일리시큐에 제보해 온 류재혁(강동대) 제보자는 “해당 사이트 특정 부분에 특정 구문을 넣어주면 작은 박스를 만들어 그 안에 다른 사이트를 연결 할 수 있도록 만들 수 있다. 만약 해커가 미리 만들어 놓은 악성 웹페이지라면 웹캠 촬영으로 인한 사생활 침해 및 개인정보 유출 가능성이 있어 주의해야 한다”고 당부했다.

 
또 “삽입 구문을 좀 더 응용해서 사용하게 되면 쿠키값 세션 탈취가 가능해 타인의 계정 탈취도 가능하다”며 “하나투어 메인 홈페이지에서 Reflective XSS 취약점이 발견되어 우려가 된다. 또 일반적인 스크립트 구문이 먹혔다는 것은 큰 문제다. 일반적인 스크립트 구문은 우회한 스크립트 구문도 아니기 때문에 상당히 위험할 수 있다”고 관리자의 신속한 조치를 권고했다.
 
하나투어 여행사 홈페이지는 많은 이용자들이 접속하는 사이트로, 메인 검색창에서 취약점이 발생했기 때문에 악성링크를 통한 사생활 침해뿐만 아니라 개인정보 유출로까지 이어질 수 있다. 또 악성코드 유포로 많은 이용자들에게 피해를 줄 수 있어 조치가 필요하다.
 
취약점 대응 방안에 대해 제보자는 “검색을 했을 때 검색 구문중 iframe이라는 구문이 있다면 완전히 제외 시키거나, 다른 구문들을 넣어서 iframe 태그가 실행 되지 않게 해야 한다. 그리고 일반적인 스크립트 구문은 검색창에 스크립트 구문이 실행되지 않게 >,< 꺽새 표시를 제한 해놓아야 한다”고 조언했다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com