“XSS 문제는 국내외 모든 인터넷 게시판이 갖고 있는 취약성”
“업체의 지속적인 노력과 함께 이용자들의 PC보안 의식이 중요”


XSS 취약점 공격건에 대해 네이버 측이 공식적인 입장을 발표했다. 네이버 측은 “이번 건은 해킹이 아닌 XSS 스크립트를 이용한 명백한 부정행위”라며 “이 경우는 악성 이용자가 자신의 게시물에 직접 악성 스크립트를 삽입해 다른 사이트로 유도하는 등 다른 이용자들의 불편을 초래한 부정행위”라고 간주했다. 

또  XSS 문제는 국내외의 모든 인터넷 게시판이 갖고 있는 취약성이며 인터넷서비스제공자와 악성 이용자간의 쫓고 쫓기는 끊임없는 싸움이 계속되고 있는 중에 있다고 밝히고 있다. 특히 유출될 수 있는 쿠키 정보가 암호화 돼 있기 때문에 개인정보 유출은 불가능하다고 말하고 있다.

다음은 네이버 측에서 밝힌 XSS 악용 부정행위 관련 발표 내용이다.

해킹이 아닌 XSS 스크립트를 악용한 부정 행위
이는 해킹이 아닌 XSS스크립트를 악용한 명백한 부정행위이다. 일반적으로 해킹이란 시스템을 뚫어 악성코드를 삽입하거나 하는 행위를 일컫지만, 이 경우는 악성 이용자가 자신의 게시물에 직접 악성 스크립트를 삽입해 다른 사이트로 유도하는 등 다른 이용자들의 불편을 초래한 부정행위이다. 

게시물에 악성 스크립트 삽입해 다른 이용자 불편 초래
해당 이용자가 사용한 방법은 다음과 같다. 게시판에 게시물 작성 시 HTML태그로 작성할 수 있는데, HTML태그 중 <스크립트> 태그를 이용하면 게시물을 읽은 이용자의 PC에서 팝업창을 띠우거나 다른 사이트로 연결하는 등 특정 스크립트가 실행되게 할 수 있다. 이러한 스크립팅 방식을 XSS(크로스 사이트 스크립팅)라고 하고 이를 통해 악성코드 삽입뿐 아니라 쿠키정보 유출이 가능하기도 하다.

XSS는 대표적인 웹 취약성으로 전세계적으로 업체와 이용자간의 끊임없는 전쟁.
이러한 XSS 문제는 국내외의 모든 인터넷 게시판이 갖고 있는 취약성이다. 그리고 각 인터넷 서비스 업체들에서는 이러한 악성 스크립트가 삽입되지 않도록 지속적으로 모니터링하고 신규패턴을 계속 추가해 필터링 하도록 노력하지만 이를 우회할 수 있는 방법이 끊임없이 나타나고 있는 상황이다. XSS의 악성 스크립트는 마치 컴퓨터 바이러스와 같은 개념으로 인터넷서비스제공자와 악성 이용자간의 쫓고 쫓기는 끊임없는 싸움이 계속되고 있다. 이에 이러한 신규 패턴을 대응하기 위한 공유 사이트가 마련되어 있을 정도다.(www.xssed.com/pagerank)

개인정보 유출은 불가능
그러나 이러한 스크립트 악용을 통해서 개인정보 유출은 불가능하다. 스크립트를 통해 유출 가능한 쿠키정보에는 중요한 개인 정보가 포함되지 않을 뿐 아니라 쿠키정보는 모두 암호화 되어있기 때문에 추가 활용이 쉽지 않다.

업체의 지속적인 노력과 함께 개인 PC 보안이 가장 중요
마지막으로 이를 위해 가장 중요한 건 업체의 지속적인 노력과 함께 이용자들의 보안 의식이다. 이용자들은 바이러스와 마찬가지로 이러한 악성 스크립트를 통해 악성코드의 감염이 우려될 수 있기 때문에 개인 PC보안을 더욱 강화해야만 한다.
[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>