국내 유명 인터넷 포털사이트 등 다수 사이트가 크로스사이트스크립트(XSS) 공격에 취약, 악성코드로 인한 좀비PC 가능성이 있다는 점이 해킹시연에서 확인됐다. 취약성이 노출된 사이트 가운데엔 최근 개인정보 유출사고로 홍역을 치른 곳도 있어 대책 마련이 시급하다.
26일 본지와 트리니티소프트는 시큐어코딩이 취약한 인터넷사이트가 ‘XSS 터널링’ 공격에 좀비PC로 변하는 과정을 시연했다.
특정 인터넷사이트 게시판에 XSS 터널링 악성코드가 삽입된 파일을 첨부해 업로드하면서 관심을 끌만한 제목을 붙인 후 불특정 다수가 이를 내려받게 했다. 이 첨부파일을 내려받은 사용자는 해커 PC와 세션이 맺어져 해커 PC에 모든 행동이 그대로 노출됐다. 각종 개인정보는 물론이고 은행 계좌정보 등 주요 정보 모두를 빼낼 수 있었다.
트리니티소프트는 국내 다수 사이트는 물론이고 올 들어 개인정보 유출사고로 주목받은 바 있는 사이트들에서 이 같은 취약성을 발견하고 국가기관 등에 신고했지만 두 달이 지난 현재까지 아무런 조치가 취해지지 않고 있다고 밝혔다.
이석하 트리니티소프트 모의해킹컨설턴트는 “XSS 터널링 공격은 세션을 유지하는 데 쓰이는 공격으로 공격자는 희생자 컴퓨터와 직접 연결할 수 있다”며 “희생자 PC가 입력하는 모든 내용을 그대로 들여다볼 수 있으며 상대 PC에 웹캡이 설치됐다면 PC 사용자의 일거수 일투족을 모두 관찰할 수 있다”고 설명했다.
이 컨설턴트는 “XSS 공격은 널리 알려진, 비교적 간단한 해킹 기법이지만 의외로 XSS 공격에 취약한 사이트가 대부분”이라며 “이는 사이트 설계 당시 보안을 고려한 시큐어코딩이 적용되지 않았기 때문”이라고 설명했다.
기존 사이트라도 시큐어코딩 툴을 이용해 스캔하면 취약성이 있는 부분을 발견, 수정이 가능하다. 사이트 전체를 전수검사하는 것이 아니라 툴이 지적한 부분을 악성코드가 올라가지 않는 코딩으로 변환하면 피해를 막을 수 있다. 하지만 대부분 사이트가 이러한 사실을 모르거나 비용 등을 이유로 망설인다.
김진수 트리니티소프트 사장은 “소프트웨어의 취약한 부분을 패치하는 것처럼 시큐어코딩은 웹사이트를 패치하는 개념”이라며 “시큐어코딩을 통해 사이트의 취약성을 진단하고 취약점이 발견되면 즉시 조치해야 한다”고 강조했다.
크로스사이트스크립트(XSS)=동적 생성 웹페이지에 악의적인 스크립트를 넣어 사용자가 해당 페이지를 열람하는 즉시 삽입한 스크립트가 실행되도록 해서 사용자 정보를 탈취해가는 웹 해킹 기법이다. XSS 터널링 공격은 XSS의 변종으로 세션을 맺게 하는 공격의 일종이다.
시큐어코딩=소프트웨어 개발 시 취약성이 있을 수 있는 부분을 보완해 프로그램을 개발하는 것으로, 안전한 소프트웨어를 개발하기 위해 지켜야 할 코딩규칙과 소스코드 취약성 목록 등이 포함된다.
장윤정기자 linda@etnews.com
