국내 최대 포털 네이버가 악성링크를 배포할 수 있는 보안 취약점에 연이어 노출됐다.
네이버 인물검색, 영어사전, 럭키투데이 등에서 발견된 크로스사이트스크립트(XSS) 취약점이 동영상 서비스 ‘TV캐스트’에도 존재했다. 본지 4월 15일자 2면, 5월 30일자 8면 참조
화이트해커그룹 락다운은 TV캐스트 페이지에 XSS 리다이렉트 취약점이 발견됐다고 밝혔다. 락다운은 네이버 서비스 여러 곳에 같은 취약점이 지속적으로 발견되는 것은 총체적인 정보보호관리체계가 부실한 것을 증명한다고 지적했다.
특히, 이번 취약점은 최근 네이버가 전체적으로 종합보안점검을 실행했다고 밝힌 후 발견됐다.
락다운 측은 “XSS는 대응책을 마련하기에 어려운 취약점이 아니다”라며 “보안 방법도 일반화돼 정부 가이드라인만 준수하면 막을 수 있다”고 설명했다. 그는 “XSS는 아주 쉽게 찾을 수 있는 기본적인 취약점으로 보안 관리자가 없는 중소기업이 흔히 노출된다”며 “하지만 국내 최대 포털 네이버 서비스에서 지속적으로 발견되는 것은 보안이 소홀한 증거”라고 꼬집었다.
XSS 취약점은 국제웹 보안표준기구(OWASP)가 꼽은 3대 웹 보안 위협 중 하나다. 해커가 악의적인 목적으로 악성코드를 다운로드할 수 있는 스크립트를 넣어 링크를 뿌리면 하루에 수백에서 수천명 PC를 좀비로 만들 수 있다. 악성코드 목적에 따라 각종 금융정보를 비롯한 중요 개인정보를 모두 빼돌릴 수 있다. 주로 서비스를 이용하는 고객이 피해를 입는다.
이에 네이버는 “빠르게 조치하고 정보보호에 더욱 만전을 기하겠다”고 밝혔다.
김인순기자 insoon@etnews.com