온라인 서점 도서11번가 사이트에 XSS와 CSRF 취약점이 발견돼 신속한 조치가 필요한 상황이다.

특히 XSS(Cross-site scripting)취약점은 스크립트를 삽입해 웹에서 순수하게 제공되는 동작 외에 부정적으로 발생하는 액션을 말하며 SQL 인젝션 공격과 함께 가장 위험성이 높은 취약점으로 국제 웹보안 표준기구 ‘OWASP’에서 경고하는 10대 웹 보안취약점에서 수위를 차지하고 있어 주의를 기울여야 하는 취약점으로 알려져 있다.
 
도서11번가 XSS(Cross-site scripting)와 CSRF취약점을 발견하고 데일리시큐에 제보한 박병욱(경성대학교 컴퓨터공학부)씨는 “9월 8일 취약점을 발견하고 해당 사이트에 권고했으며 아직 취약점 패치가 이루어지지 않았다”며 “리뷰 작성 시 리뷰의 에디터를 통한 img 태그에 대한 필터링을 하지 않아 발생하는 취약점”이라고 설명했다.

 
이에 대한 보안대책으로는 “리뷰 작성시 항상 본문에 포함되는 모든 에디터의 이미지 및 동영상 태그 등의 값에 대해 필터링 해야 한다”며 “댓글 입력 방식을 POST로 바꾸고 댓글 입력시 임시 토큰을 생성해야 하며 img 태그의 onerror 속성에 대한 HTML 인코딩, 특수문자에 대한 인코딩이 필요하다”고 조언했다.
 
데일리시큐는 박씨가 보내온 상세 리포트를 KISA에 전달해 신속한 조치가 이루어질 수 있도록 할 예정이다.

PS: 한편 해당 업체는 데일리시큐 기사가 공개된 후 자체적으로 취약점에 대한 패치를 진행했으며 KISA와 협의하에 빠르게 조치했다고 알려왔다. 또한 "11번가는 앞으로도 보안 강화를 위해 지속적인 노력을 기울일 계획"이라고 밝혔다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com