세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 보안뉴스 > 기획특집
다음 카페·블로그 XSS 보안 취약점 발견!
[입력날짜: 2013-02-25 14:20]
     

HTML 태그에 대한 필터링 되지 않아 발생...다음 “신속히 조치중”


[보안뉴스 김태형] 국내 대형 포털사이트인 다음의 카페·블로그에서 XSS(Cross Site Scripting) 보안 취약점이 발견되어 해당 사용자들의 주의가 필요하다.


이번에 발견된 취약점은 HTML 태그에 대한 필터링이 제대로 이루어지지 않아 발생하는 취약점으로 해당 서비스 사용자는 CSRF, 악성코드 배포, 하이재킹 공격 등 2, 3차 피해를 입을 수 있어 각별히 주의해야  한다.


이번 보안 취약점을 발견한 국제정보보안교육센터(i2sec) 황도경 씨는 “이번에 발견한 XSS취약점은 HTML 태그에 대한 적절한 필터링이 이뤄지지 않아 발생하는 취약점으로 상황에 따라 CSRF, 하이재킹, 악성코드 배포로 이어질 수 있어 주의해야 한다”면서 “현재 다음 측에 이러한 취약점 내용을 전달한 상황”이라고 설명했다. 


이어서 그는 “다음은 소규모 사이트가 아닌 대형 포털 사이트이기에 많은 사람들이 회원으로 가입돼 있고 이용자들 또한 매우 많다. 이에 경각심을 갖고 빠른 대응 조치를 취해야 한다고 생각한다”고 덧붙였다.


이번 다음의 XSS 취약점을 살펴보면 아래와 같다.


     


위의 그림처럼 해당 스크립트를 입력한 후 게시물을 등록할 수 있다. 그런 다음 사용자가 블로그를 방문하거나 카페의 게시물을 읽게 되면 브라우저에서 해당 스크립트가 정상적으로 동작되는 것을 확인할 수 있다.


        

     ▲ Explorer 9                              ▲ Chrome 24


        

       ▲ Opera 12


국제정보보안교육센터 측은 “이번 취약점의 해결방안으로는 사용자의 우회 공격이 가능한 태그를 금지하고 다음 측에서 제공하는 에디터를 통해서만 콘텐츠를 링크할 수 있도록 설정하는 방법 등으로 보안을 강화할 수 있다”고 설명했다.


현재 다음커뮤니케이션 측에 이와 같은 취약점 내용이 전달된 상황이다. 다음 측은 해당 취약점에 대한 패치 작업을 진행 중인 것으로 알려졌다. 이에 사용자들은 다음 카페나 블로그의 게시물 클릭을 주의하고, 팝업 차단 설정 등을 통해 보안에 각별히 신경써야 할 것으로 보인다.


이와 관련 다음커뮤니케이션 측은 “해당 사항에 대해 현재 보안기술팀에서 점검을 하고 있으며 오늘 중으로 모든 보안조치를 완료할 예정이다. 추후에도 이러한 보안 취약점에 대해서는 조속한 조치를 통해 이용자들의 불편이 없도록 최선을 다할 것”이라고 말했다. 

[김태형 기자(boan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

       
  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
7월은 정보보호의 달, 7월 둘째 주 수요일은 정보보호의 날로 지정된 상태입니다. 정보보호의 달과 날짜가 특정되지 않은 ‘정보보호의 날’의 변경 필요성에 대해서는 어떤 견해를 갖고 계신지요?
정보보호의 날(달) 모두 현행 유지
정보보호의 달은 현행대로, 정보보호의 날은 7월 7일로
1.25 인터넷대란, 카드사 사태 발생한 1월, 정보보호의 달(날)로
매월 매일이 정보보호의 달(날), 기념일 폐지해야
기타(댓글로)