보안전문가들 이미 몇 달 전부터 트위터 XSS 공격 예고
[보안뉴스 오병민] 단문형 소셜네트워킹 서비스로 유명한 트위터(Twitter.com)는 21일 악성공격자에 의한 해킹공격을 받아 포르노 사이트나 악성코드가 삽입된 사이트로 접속되는 등 사용자들의 불편이 줄을 이었다.

이번에 트위터에서 나타난 공격은 XSS(Cross-Site Scripting) 공격으로, 이 공격은 사용자로부터 입력받은 값을 검증하지 않은채 바로 실행해서 나오는 취약점이다. 공격자는 웹페이지에 XSS 공격 코드를 삽입해 악성코드 감염이나 다른 사이트로 이동시키는 등 다양한 해킹공격을 감행할 수 있다.
 


이번에 트위터에 나타난 XSS공격 역시 공격코드가 삽입된 글을 클릭을 하지 않고  단지 글에 마우스를 접촉하기만 해도 악성코드나 포르노와 같은 유해정보가 담겨있는 사이트로 연결되는 현상이 나타났다. 이에 대해 트위터 측은 “XSS 공격에 대한 취약점을 찾았으며 보안패치를 적용하고 있다”고 밝혔다.

트위터의 XSS 공격 취약성은 이미 몇 달 전부터 외국의 보안전문가들이 거론되기도 했다. ‘H4x0r-x0x’로 알려진 인도네시아의 보안연구원은 올해 6월 해당 취약점을 발견하고 자신의 트위터 계정을 이용해 이를 입증해 보였다.

그의 블로그에 따르면 이 취약점은 주로 트위터에서 개발자들이 사용하는 애플리케이션 등록 페이지의 ‘애플리케이션 이름’ 필드값에 입력값 검증을 하지 않아 발생하는 것으로 나타났다.

당시 이 취약점을 이용한 피해는 확인되지 않았으나 사이버 범죄자들이 이를  이용해 악성 자바스크립트 코드를 트위터 페이지에 삽입할 수 있다는 점이 문제로 제기됐었다.

보안업계의 한 전문가는 “인터넷이 발달하면서 IT를 활용한 새로운 비즈니스가 나타나고 있지만 서비스의 보급화를 촉진하거나 비용문제로 보안에 소홀히 하는 면이 없지 않다”면서 “그러나 이런 IT기반 서비스에서 가장 중요한 것은 보안이며, 심한 경우 보안 때문에 사업이 실패할 수 있다는 점을 명심해야한다”고 말했다.
[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>