사진첩 등에 삽입된 HTML 버튼 클릭만으로 개인정보 탈취 가능 태그 입력 아닌 붙여넣기 통해 글쓰기 란에 삽입할 수 있어 문제  

[보안뉴스 권 준] 싸이월드 미니홈피 사진첩에 HTML로 구현된 버튼을 만들어 악용할 경우 악성 해커에 의해 사용자 개인정보가 유출되는 심각한 XSS(Cross-Site Scripting) 취약점이 발견돼 주의가 요구된다.



싸이월드 미니홈피 사진첩에 HTML로 구현된 버튼이 삽입된 모습. 이러한 버튼에 악성코드가 삽입되거나 악성 해커의 홈페이지로 연결되면 사용자 정보 탈취 등의 각종 피해가 발생할 수 있다.

이번 취약점을 발견한 국제보안/해킹문제사이트 ‘핵미’(http://www.hack-me.org/) 운영자인 여성 화이트해커 김슬기 씨에 따르면 싸이월드 미니홈피의 사진첩에 악성 해커가 HTML(Hyper Text Markup Language)을 이용해 버튼을 하나 삽입한 후, 그 안에 버튼을 클릭하면 쿠키를 탈취할 수 있도록 악성 해커 또는 악성코드가 심어진 홈페이지로 링크를 이동시키는 것이 가능하다는 설명이다. 

XSS 취약점은 사용자로부터 입력받은 값을 검증하지 않고 그대로 사용할 경우 나타나는 웹 서비스 상의 취약점 가운데 하나로 최근 여러 웹사이트에서 XSS 취약점이 발견돼 적지 않은 문제가 발생하고 있다.

특히, 수많은 회원을 보유하고 있는 싸이월드 미니홈피에 이렇듯 간단한 방법으로 사용자 정보가 탈취될 가능성이 있어 문제가 더욱 심각하다는 것.

이와 관련 한 웹 개발자는 “HTML 소스코드를 입력해 버튼을 만들고 확장자를 html 또는 htm 확장자로 바꿔주는 것은 웹 페이지에 대해 조금이라도 아는 사람이라면 너무나 손쉬운 일이기 때문에 이를 악용하는 일은 어렵지 않다”며, “싸이월드 미니홈피 사진첩 등에 이 버튼이 첨부될 경우 심각한 문제가 발생할 수 있다”고 지적했다.

제보자인 김슬기 씨는 “싸이월드 미니홈피의 경우 가령 Cyworld.htm으로 만들었던 페이지에서 버튼 부분을 드래그 해 복사한 후 싸이월드 사진첩에 붙여넣기를 한 다음, 상대방이 전혀 의심하지 못하게 ‘클릭하면 사진이 뜬다’는 등의 호기심을 자극하는 문구로 이용자가 버튼을 누르게끔 유도할 수 있다”며, “이 때 이용자가 만약 버튼을 누른다면 메시지 창이 뜨는 것과 동시에 상대방의 쿠키값이 악의적 해커의 홈페이지로 넘어갈 수 있다”고 밝혔다.

이로 인해 해당 이용자의 접속시간, IP 주소, 로그기록 등이 악성 해커에 의해 노출될 수 있다는 얘기다. 덧붙여 그는 “싸이월드 미니홈피 뿐만 아니라 다른 웹사이트의 경우에도 글쓰기 게시판에 이러한 HTML 버튼이 붙여넣기가 되면 매우 위험하다”며, “특히, 아무리 HTML 태그를 막아놨다고 하더라도 단축키를 이용해 붙여넣기를 하면 아무 소용이 없다”고 우려했다.  

이번 취약점에 대해 김슬기 씨는 “싸이월드의 경우 원래 태그 입력이 가능했었는데, 그게 취약하니까 태그 입력을 막아놓은 것으로 알고 있다”며, “그러나 태그입력을 막아놓는다고 문제가 해결되는 건 아니다. 미니홈피에서 직접 태그를 안 해도 태그를 해놓은 것을 복사해서 갖다 붙이면 가능하기 때문”이라고 지적했다.

대응방안에 대해서 김슬기 씨는 “SK컴즈 측에서 싸이월드의 사진첩에 HTML로 구현된 버튼이 복사되지 않도록 차단하는 조치를 신속히 취해야 한다”고 설명했다.  
 
이에 본지는 싸이월드 운영을 맡고 있는 SK컴즈 측에 이번 취약점을 통보한 후, 신속한 조치를 요청했다. 그 이후 SK컴즈 측은 클릭했을 때 악의적인 명령어를 실행하는 버튼이 사진첩에 생성되지 않도록 명령어를 차단하는 조치를 취했다고 밝혔다.
 
이번 취약점과 관련해 한 보안전문가는 “싸이월드 뿐만 아니라 많은 웹사이트에서 이러한 취약점에 노출돼 있을 가능성이 있다”며, “악성링크로 연결될 가능성이 높은 HTML 태그를 필터링하는 것과 함께 단축키를 통한 붙여넣기가 불가능하도록 기술적 보안조치를 마련해야 한다”고 강조했다.  
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>