-
포털 및 국내 많은 사이트, ‘XSS 공격’에 취약해0x04 Security/news 2008. 8. 18. 09:37
대표 포털사 등 XSS 공격에 취약...접속자 개인정보 유출 위험
XSS 취약점 공격, SQL인젝션 공격과 함께 웹 공격의 주범
며칠전 한 제보자를 통해 “국내 대표적인 포털사이트 카페 게시판에 악성자바스크립트 공격이 통한다”는 내용과 함께 “포털사이트를 비롯한 많은 사이트들이 ‘크로스 사이트 스크립트(Cross-site scriting(XSS))’ 취약점에 주의를 기울여 줄 것을 당부한다”는 제보를 받은 바 있다.
◇2002년 말, 가수 박진영도 당한 XSS 공격=지난 2002년으로 거슬러 올라가면, 가수겸 제작자인 박진영, 탤런트 김민희 등 연애인들의 포털 사이트 계정 비밀번호를 알아내 메일 내용을 훔쳐본 자들이 구속된 사건이 있었다. 이때 이들이 사용한 공격방법이 바로 ‘크로스 사이트 스크립트(XSS)’ 취약점을 이용한 공격이었다.
하지만 여전히 많은 사이트들에 XSS 취약점이 존재하고 있으며 이를 악용한 공격들이 계속되고 있는 상황이다.
크로스 사이트 스크립트 취약점은 웹 페이지가 사용자에게 입력 받은 데이터를 필터링하지 않고 그대로 동적으로 생성된 웹 페이지에 포함해 사용자에게 재전송할 때 발생하는 것이다.
자바 스크립트(Java Script)처럼 클라이언트 측에서 실행되는 언어로 작성된 악성 스크립트 코드를 웹페이지, 웹 게시판 또는 이메일에 포함시켜 사용자에게 전달하면 해당 웹 페이지나 이메일을 사용자가 클릭하거나 읽을 경우 악성 스크립트 코드가 웹 브라우저에서 실행된다.(위 이미지, KISA 홈페이지 보안가이드)
공격자는 XSS 취약점이 존재하는 웹 사이트를 이용해 자신이 만든 악의적인 스크립트를 일반 사용자의 컴퓨터에 전달해 실행시킬 수 있다. 이러한 공격 방법을 통해 사용자 쿠키를 훔쳐내 해당 사용자 권한으로 로그인하거나 브라우저를 제어할 수 있게 된다.
◇접속 사용자 계정탈취 가능해=위협사례로는 자바 스크립트(Java Script)를 이용한 공격이 있다. 사이트 내부에 자기소개서와 같은 많은 양의 글을 작성할 수 있는 부분에 XSS 취약점이 존재하고 자바 스크립트를 이용해 자신의 정보를 열람하는 사용자의 인증정보나 쿠키 정보 등을 탈취할 수 있다. 이를 이용해 악의적 해커(크래커)는 다른 사용자로 접근이 가능하게 된다.
제보자 또한 “중국 사이트에서 쉽게 XSS 소스를 구할 수 있으며 이를 이용해 포털이나 많은 사이트에 적용해 보면 스크립트 공격이 가능한 곳이 많은 것을 알 수 있다”며 “또한 XSS 공격이 이미지태그로도 공격이 가능할 수 있을 것”이라고 말했다.
공격 방식은 다음과 같다. 해커는 PHP파일을 만들어 자기 컴퓨터에 PHP 서버를 가동시킨다. HTML 글쓰기가 가능한 게시판에 악성 자바 스크립트를 심어놓고 글을 올린다. 이때 해당 게시물을 열람한 사람의 쿠키가 해커의 컴퓨터로 자동 전송된다. 해커는 입수한 쿠키로 조작과 변경을 마음대로 할 수 있고 세션변경도 가능하게 된다. 즉 개인정보 유출의 원인이 될 수 있다는 것이다.
◇크래커들이 눈여겨보는 XSS 취약점들 많다=XSS 취약점은 주로 에러 메시지 출력 부분이나 게시판 또는 사용자의 정보를 입력해 다시 보여주는 부분 등이 주로 취약한 부분이 될 수 있다. 공격자들이 주로 눈여겨보는 부분이 바로 CGI 스크립트, 검색 엔진, HTML Tag가 입력 가능한 게시판, 사용자 에러 페이지, URL파라미터, Form 인수값, 쿠키, 데이터베이스 쿼리 등이다.
취약성 판단 방법으로는 게시판에 글쓰기와 같이 단문이상의 입력이 가능한 부분에 아래와 같이 <스크립트> 태그를 입력한 후 그 부분을 접근할 때 팝업창이 뜨면 취약점이 존재하는 것으로 봐야 한다.
◇많은 사이트에 취약점 존재...보안장비도 무용지물=현재 대표 포털의 카페 글 제목 부분에 XSS 취약점이 존재하는 것으로 밝혀졌으며 국내 100대 사이트 대부분이 다소의 해당 취약점을 가지고 있을 것으로 보여진다.
XSS 공격은 상황에 따라 심각한 피해를 발생시킬 수 있다. 공격을 통해 무엇을 할 수 있는지가 중요하다. 쿠키 값이나 세션 ID를 훔쳐낼 수 있다. 그렇게 되면 관리자로 로그인할 수 있기 때문에 심각한 문제를 야기할 수 있다.
XSS 취약점은 SQL인젝션 공격과 함께 웹 해킹의 주요 트렌드로 자리잡고 있다. 또한 보안의식이 없는 웹프로그래머에 의해 개발된 웹애플리케이션에서 발견되는 HTTP관련 취약점이라고 할 수 있다.
또한 방화벽이나 IDS, 바이러스백신 등 보안 장비로는 XSS 공격을 탐지할 수 없고 공격흔적인 로그도 남지 않기 때문에 방어가 힘든 실정이다. 때문에 사이트 보안 담당자들의 역할이 더욱 중요한 시점이다.