게임메카 사이트 XSS 취약점 주의!

html 태그에 대한 필터링 이루어지지 않아 발생

게임메카 측, 해당 취약점에 대해 1차 보안조치...추가 대책 마련중

[보안뉴스 김태형] 게임 전문 온라인 매체인 게임메카 사이트(www.gamemeca.com)에서 XSS(Cross Site Scripting) 취약점이 발견되어 이용자들의 주의가 필요하다.

인제대학교 정보보안동아리 돗-가비 소속 이상철 씨는 “게임메카 사이트에서 게시물 등록 시 html 태그에 대한 필터링이 전혀 이루어지지 않아 XSS 공격 취약점이 발생했다”라고 밝혔다.

이어서 그는 “해당 사이트 이용자는 CSRF, 악성코드 배포, 하이재킹 공격 등 2, 3차 피해를 입을 수 있어 각별히 주의해야 한다”고 강조했다.

또한, 그는 “사진 업로드 시 파일 확장자명에 대한 필터링이 이루어지지 않아 php, asp 등의 보안상 취약한 파일의 업로드를 허용하고 있다. 이러한 취약점은 웹셸 업로드 등을 통해 웹 서버 전체의 제어권을 악의적 해커가 가질 수 있다는 점에서 매우 위험한 취약점”이라고 설명했다.

▲ Attack Test

▲ XSS TEST

이러한 취약점에 대응하기 위해서는 게시물 등록 시에 보안상 취약한 html 태그들에 대해 필터링을 하는 코드를 추가하거나 html을 화이트리스트 방식으로 제한적으로 허용하는 방법으로 XSS 공격을 방어할 수 있다.

아울러 사진 등록 시 확장자명을 jpg,bmp 등의 확장자를 가진 파일의 업로드만 허용하도록 해 파일 업로드 공격을 방어할 수 있다.

이에 대해 게임메카 측 담당자는 “현재 html iframe(아이프레임)은 열어 놓고 있다. 왜냐하면 유튜브 사이트에 동영상 업로드를 위해서는 아이프레임을 차단하면 안되 기 때문이다. 이로 인해 보안취약점이 생기는 부분에 대해서는 향후 어떻게 해야할지 계속 논의 중”이라고 밝혔다.

덧붙여 그는 “파일 업로드 취약점에 대해서는 계속적으로 보완해 나가고 있다. 현재 이미지 파일만 업로드가 가능하도록 되어 있긴 한데 업로드 된 파일이 실행되지 않도록 했기 때문에 웹셸이 업로드 되더라도 실행되지 않아 보안측면에서는 문제가 없다. 향후에도 지속적인 모니터링과 보안관리를 통해 보안조치를 취해 나갈 것”이라고 전했다.

[김태형 기자(boan@boannews.com)]

최근 발생한 크라우드 스트라이크의 보안 SW 업데이트 오류 사태처럼 SW 공급망에 보안이슈가 발생할 경우 관련된 각종 시스템 및 IT 인프라 마비가 일어날 수 있다는 게 드러났습니다. 이러한 공급망 보안을 위협하는 가장 큰 요인은 무엇이라고 생각하시나요?
	랜섬웨어, 피싱 등의 사이버 공격
	SW 업데이트 및 SW 교체 과정에서의 오류
	SW 자체에 존재하는 보안 취약점
	시스템 관리자의 운영상 실수 및 관리 미흡
	기타(댓글로)