언론사 홈피, 빈번한 보안취약점 살펴봤더니...

국내 주요 신문사·방송사 웹사이트, XSS 취약점 잇달아 발견

XSS 취약점 유형 2가지...각 언론사별로 꼼꼼히 체크해야

[보안뉴스 민세아] 국내 유명 언론사 홈페이지 게시판과 검색창 등에서 XSS(Cross Site Scripting) 취약점이 잇달아 발견되고 있다. 올해 들어 발견된 언론사 사이트만 5곳에 달해 밝혀지지 않은 웹사이트는 더욱 많을 것으로 추정된다.

XSS 취약점은 크게 Stored XSS와 Reflected XSS로 나뉜다. Stored XSS는 서버에 해커가 스크립트를 저장해두고, 사용자가 스크립트가 저장된 악성 게시글을 열람할 때 스크립트가 실행되는 방식이다. 해당 취약점으로 인한 가장 큰 피해는 웹에서 세션정보를 탈취당하거나 악성링크로 자동으로 연결되는 것이다.

본지에서 보도했던 국내 케이블 방송사 JTBC, MBN 웹사이트와 MBC 시청자게시판이 Stored XSS 취약점을 가지고 있었다. HTML 태그에 대한 필터링이 되지 않는 문제때문에 시청자게시판 등에서 스크립트가 실행됐다.

Reflected XSS는 비교적 위험도가 낮은 취약점이다. 이는 검색창이나 URL에 스크립트를 넣어 실행시키는 방식으로, 스크립트를 사용자에게 실행시키도록 하기 위해 악성링크를 만들어 클릭하도록 유도하는 방법이 주로 사용된다. 해당 취약점은 중앙일보의 온라인사이트인 조인스닷컴과 디지털타임즈 웹사이트에서도 발견됐다.

이러한 XSS 취약점은 인터넷 익스플로러(IE) 6, 7에서 발생하며 파이어폭스의 경우 모든 버전이 취약하다. 또한, 인터넷 익스플로러 8 이상 버전에서는 XSS 필터링 설정을 ‘사용 안함’으로 설정한 경우에 취약할 수 있기 때문에 사용자들의 각별한 주의가 필요하다.

이번 디지털타임즈의 XSS 취약점을 발견한 울산상업고등학교 김태엽, 김동규 군은 “XSS 취약점 대응방안으로 검색을 시도할 때 ‘<’ 와 ‘>’ 라는 문자가 들어오면 삭제 후 검색결과를 보여주거나 아예 검색되지 않도록 해야 하며, 해당 취약점으로 인해 피해 받은 사람들이 인지할 수 있도록 그 위험성을 권고해야 한다”고 설명했다.

이와 관련 디지털타임즈 측은 “최근 웹사이트를 리뉴얼하는 과정에서 미처 파악하지 못한 부분이 있었던 것 같다”며 “바로 조치할 것”이라고 밝혔다.

언론사 홈페이지는 많은 독자들이 접속해 기사를 읽는 웹사이트인 만큼 보안에 만전을 기해야 한다. 더욱이 해당 취약점이 악용될 경우 피해자들이 속출할 수 있으므로 보다 철저한 관리가 필요하다.

[민세아 기자(boan5@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)