단순한 스크립트 작성만으로 악의적 공격 가능...“취약점 수정 완료”

[보안뉴스 김태형] 카카오톡 서비스 중 하나인 ‘카카오 아지트’에서 ‘크로스사이트스크립트(XSS)’ 취약점이 발견됐다.

공격자는 이 취약점을 통해 악의적인 목적의 웹서버로 연결시켜 악성코드를 전송하거나 쿠키값 등을 유출해 개인정보를 빼낼 수 있다.


    
      ▲ 카카오 아지트 해야 할일 등록 부분에서의 스크립트 실행 화면

이번 취약점을 본지에 알려온 경성대학교 컴퓨터공학과 서상헌 군은 “카카오톡 아지트 사이트(https://agit.kakao.com/)의 ‘해야 할일 추가 메뉴와 일정 등록 페이지’에서 XSS 취약점을 발견했다. 이 취약점은 ‘OWASP TOP 10-A3’에 해당하는 취약점으로 악성 스크립트를 의도와 상관없이 실행시켜 해커의 서버로 연결시키고 이를 통해 각종 악성코드나 쿠키값 등을 전송한다”라고 설명했다.

이어 그는 “이 취약점에 대한 검증은 XSS 글을 작성한 후에 이를 업로드하고 이후 스크립트 실행을 확인해보면 알 수 있다. 이러한 취약점은 작성 글에 대한 필터링이 되지 않아 발생하는 것으로, 단순한 스크립트 작성만으로 공격 성공이 가능하기 때문에 위험하다”고 덧붙였다.

이러한 문제를 해결하기 위해서는 스크립트에 사용되는 특수문자에 대한 화이트리스트 방식의 등록이 필요하고 팝업을 차단해야 한다. 그리고 HTML 자체를 차단할 필요가 있다.  

현재 해당 취약점은 카카오톡 고객센터를 통해 전달됐으며, 지금은 수정이 완료된 상태라는 답변을 받은 것으로 전해졌다.

이와 관련 카카오 측은 “해당 취약점을 개발팀에 전달해 현재는 수정이 모두 완료됐다. 앞으로 더 나은 서비스를 위해 노력하겠다”고 말했다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>