국내 유명 홈페이지 및 쇼핑몰 제작 프로그램인 테크노트 7에서 XSS 취약점이 발견됐다. 이용자들의 각별한 주의가 요구된다.
 
이번 취약점을 발견하고 데일리시큐에 제보한 국제정보보안교육센터(i2sec) 23기 수강생 전종규 군은 “XSS 취약점은 스크립트를 삽입해 웹 어플리케이션에서 순수하게 제공되는 동작 외에 부정적으로 일어나는 액션으로 웹에 해커가 스크립트를 심는 것”이라며 “이에 공격 대상은 서버가 아니라 클라이언트이다. 그리고 해당 취약점에 대한 공격으로 클라이언트의 쿠키를 탈취할 수 있을 뿐만 아니라 csrf 공격에도 이용될 수 있고 클라이언트의 PC에 악성코드를 설치시킬 수 있다”고 주의를 당부했다.  

 
이번 취약점 같은 경우 해당 솔루션의 게시판은 블랙리스트 방식으로 허용된 소스에 대한 html 소스를 허용하나 img태그에 대한 필터링이 제대로 이루어지지 않아 게시물을 열람하는 사용자의 브라우저에서 해당 코드가 실행되도록 하거나 웜,바이러스 배포, 사용자 세션정보 탈취, CSRF 공격 등 2차, 3차 피해로 이어질 수 있다.
 
이러한 XSS 취약점에 대응하기 위해서는 html 화이트리스트 방식으로 공격성이 짙은 해당 태그를 필터링해야 한다.
 
사용자들은 보안 패치를 항상 최신 버전으로 업데이트를 하는 것이 중요하다. 위 취약점은 해당 사이트의 담당자에게 전달된 상태다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com