온라인 음악서비스 사이트 멜론 홈페이지에 XSS(Cross Site Scripting) 취약점이 발견됐다. 크로스 사이트 스크립팅 취약점은 웹페이지에 악성 스크립트를 삽입해, 정보를 탈취하거나 비정상적인 기능을 수행하게 돼 많은 이용자들에게 악영향을 줄 위험이 존재한다.

 
해당 취약점을 발견하고 데일리시큐에 제보한 단용훈(울산동천고) 학생은 “XSS를 필터링 할 수 있는 기능을 웹 페이지에 추가하거나, 입출력값의 검증 및 무효화를 거쳐서 악의적인 데이터가 들어올 경우 차단하는 시스템을 구축해야 한다. 그리고 웹 방화벽을 구축해서 차단하는 것이 안전하다”고 전했다.
 
이 취약점을 방치하게 되면, 악의적 공격자가 쿠키나 세션 정보를 탈취 할 수 있고 악의적인 기능을 수행해서 이용자들에게 직접적인 피해를 줄 수 있다. 또한 지능적인 공격방법을 동원할 경우 관리자 권한까지 탈취 가능하기 때문에 신속하게 보안조치가 이루어져야 한다.
 
한편 OWASP는 XSS 예방 방법에 대해, XSS를 방지하려면 활성 브라우저 콘텐츠와 신뢰할 수 없는 데이터를 분리해야 한다고 말한다. 예방법은 다음과 같다.
 
◇선호하는 방법은 HTML 문맥(본문, 속성, 자바스크립트, CSS, 또는 URL)에 따라 모든 신뢰할 수 없는 데이터를 올바르게 이스케이핑하는 것이다.
 
◇또한 XSS를 방지하기 위해서는 입력 값 검증 시 포지티브 또는 화이트리스트 방식을 권장한다. 하지만 많은 애플리케이션에서 입력 값에 특수 문자가 필요하기 때문에, 완벽하게 방어되지는 않는다. 이러한 유효성 검사는 입력으로 승인하기 전에 해당 데이터에 대한 길이, 문자, 형식 및 사업적 규칙 유효성을 검사해야 한다.
 
◇XSS를 방어하기 위해 전체 사이트에 콘텐츠 보안 정책 (CSP)을 고려해야 한다.
 
데일리시큐는 해당 취약점을 관계 기관에 전달해 보안조치가 이루어질 수 있도록 할 예정이다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com