HTML 태그 활용한 XSS 취약점 발견!

[보안뉴스 김태형] 아직 패치가 되지 않은 제로데이 취약점이 발견되어 주의가 요구된다. 이번 취약점을 발견해 본지에 알려온 최진웅(20세) 씨에 의하면 “이번 취약점은 웹페이지에 사용되는 HTML 태그인 embed와 object를 활용한 XSS 취약점이며, 이 취약점이 악용되는 것을 우려해 한국인터넷진흥원에 통보한 상황”이라고 밝혔다.

최진웅 씨는 “이 취약점은 최신 익스프레스 엔진(XpressEngine, 이하 XE) 게시판에 글쓰기로 삽입이 가능하며, 이를 통해 악성코드 유포 등의 악용이 가능하다” 고 설명했다. 그러나 그는 “그나마 다행스러운 건 이 취약점으로 관리자 계정 탈취는 쉽지 않다는 것”이라고 덧붙였다.   

즉, iframe 식으로 페이지가 포함되는 것이어서 XE에서는 관리자 권한 탈취가 불가능하지만, CSRF(Cross Site Request Forgery)나 악성코드 유포에 악용될 수 있다는 것.

CSRF는 XSS와 달리 Javascript를 사용할 수 없는 상태에서도 공격이 가능한 방법이다. 이는 사이트에서 제공하는 기능을 피해자의 웹 브라우저에서 요청시키도록 하는 공격으로, 공격자의 악성코드를 읽은 피해자는 요청을 서버로 보내게 되고 서버는 피해자의 권한으로 요청에 대한 처리를 하게 된다는 것이다.  

최진웅 씨는 “HTML 태그의 일종인 object, embed 모두 IE9, Chrome에서 작동이 되는 것으로 확인됐다. 다만 embed의 경우에는 구형 브라우저에서는 작동이 되지 않았다”고 설명했다.

이번 취약점과 관련해 확장자 검사를 하지 않는 한 아직 적절한 대응방법이 없는 것으로 알려져 사용자들의 주의와 함께 별도의 대책이 마련되어야 할 것으로 보인다.     

[김태형 기자(boan@boannews.com)]