국내 최대 포털 네이버가 악성링크를 배포할 수 있는 보안 취약점에 또 다시 노출됐다.
지난달 14일 인물검색에 이어 영어사전과 럭키투데이 서비스에서도 크로스사이트스크립트(XSS) 리다이렉트 취약점이 발견됐다. 하루 수십 만 명이 이용하는 서비스가 악성코드 유포지로 악용되면 전자금융사고 등 2차 피해가 우려된다. 본지 4월 14일자 2면 참조
29일 화이트해커그룹 락다운은 네이버 영어사전도 인물검색과 같은 보안 취약점을 갖고 있다고 밝혔다. 6월 1일 서비스 종료를 앞둔 쇼핑 서비스 ‘럭키투데이’도 같은 취약점이 그대로 방치됐다. XSS 취약점은 국제웹보안표준기구(OWASP)가 꼽은 3대 웹 보안 위협 중 하나다. 네이버는 지난 27일 새벽 2시에서 6시까지 안정적인 사전 서비스를 위해 DB교체작업을 진행했는데 관련 취약점을 보완하지 않았다. 락다운은 영어사전 페이지는 XSS 공격을 대응하긴 했지만 아주 간단한 방법으로 우회된다고 설명했다.
예를 들어, XSS공격 명령인 ‘alert(“xss”)’가 실행되지 않게 보안을 했지만 S를 대문자로 바꾸면 공격에 성공한다. 다른 공격 명령에는 그대로 뚫려 악성코드 유포를 할 수 있다.
최근 공격자는 방문자 수가 많은 사이트 보안 취약점을 이용해 악성코드를 대량으로 유포한다. 공격자가 악성코드를 배포하는 프로그램을 영어사전 서비스에 넣어 뿌릴 수 있다. 영어사전을 이용한 수십 만명의 PC가 해커들에게 조정당하는 좀비PC로 변한다.
락다운은 “악성코드 목적에 따라 해커가 원하는 데로 다양한 공격이 가능하다”며 “최근 급증한 공인인증서 탈취 후 금융정보 수집 등에 악용될 수 있다”고 설명했다. 이외에도 PC 원격 조정과 모니터링, 웹캠을 이용한 영상 촬영과 녹화, 파일 업로드와 다운로드 등 피해를 입는다.
영어사전이 노출한 XSS 취약점에 영향을 받는 환경은 마이크로소프트 인터넷 익스플로러 6~11버전이다. 인터넷 익스플로러를 쓰면 XSS 필터를 사용하지 않는 경우다. 모질라 파이어폭스와 사파리, 크롬 모든 버전에서 이 취약점이 발견된다.
락다운은 “공격코드에 이용되는 특수문자 ‘.’ 등을 리플레이스(replace) 등의 문자 변환 함수를 이용해 치환하라”며 “검색 길이에 제한을 둬 취약점에 대응해야 한다”고 설명했다.
이에 대해 네이버는 “최근 종합보안 진단을 진행하는 중 발견해 바로 조치를 하고 있었다”며 “정보보호에 더욱 만전을 기하겠다”고 밝혔다.
김인순기자 insoon@etnews.com