네이버와 구글도 악성코드 사이트?...XSS 활용한 공격 기승


네이버나 구글 등 유명 포털들이 내부 게시판을 이용해 악성코드를 퍼트리는 공격자들 때문에 골머리를 앓고 있다. 공격자들이 포털을 피싱 사이트로 활용하고 있는 것이다.

이런 공격이 계속 불거질 경우 포털들은 기업 이미지에 타격을 입을 수 있기에 적잖이 우려하는 모습이다.

■ XSS 공격으로 게시판서 악성코드 유포

사용자 입장에서 믿고 접속한 유명 포털에서 악성코드가 나오게되면 불안해지기 마련이다. 포털에 있는 악성코드는 대부분 사용자 PC에있는 개인정보를 탈취해 공격자에게 전송하는 것이어서 위험이 더욱 높다.

하지만 포털들이 공격자들에 의한 사이트 오염을 막기는 쉽지 않다. 최첨단 공격 기술로 중무장하고 있는 탓이다.

포털들은 특히 'XSS(Cross site Scripting)' 취약점을 악용한 스크립트 공격을 두려워하고 있다. XSS는 악성코드를 유포하거나 특정 사이트로 사용자를 유도할 때 사용하는 공격 기법이다. XSS 스크립트가 숨겨진 게시물을 클릭하면 자신도 모르는 새 악성코드를 내려받게된다. 이 경우 사용자 아이디와 비밀정보가 포함된 쿠키파일이 공격자에게 전송된다. 위험도가 큰 공격인 셈이다.

18일 보안업계에 따르면 최근 한 네티즌이 중국 사이트에서 구한 신종 XSS 스크립트를 다수의 네이버 카페 게시판에 올려 이를 실행시키는데 성공했다. 현재 네이버는 해당 스크립트에 대한 방어 시스템을 업데이트 한 상태다.


◇사진설명 : XSS 스크립트 신규 패턴에 대응하기 위한 공유사이트 ‘www.xssed.com/pagerank’


NHN 관계자는 "XSS 문제는 네이버 뿐 아니라 국내외 모든 인터넷 사이트들이 고민하는 문제"라고 토로했다. 업계는 네이버 뿐 아니라 국내 포털 게시판 대부분에 XSS 취약점이 존재하는 것으로 추정하고 있다.

미국도 마찬가지다. 유명 보안업체 마이터가 XSS를 가장 위험한 웹 취약점으로 분류할 정도다. 마이터 관계자는 "인터넷에 대한 의존도가 높아지면서 웹을 이용한 보안 취약점이 급격히 늘고 있고 그중 선두가 바로 XSS 스크립트다"고 전했다.

현재 주요 포털들은 XSS 스크립트가 삽입되지 않도록 지속적인 모니터링과 필터링을 하고 있다. 그러나 신규 패턴이 계속 추가돼 차단이 쉽지 않은 상황이다. 네이버 관계자는 "XSS 스크립트는 마치 악성코드와 같은 개념으로 서비스 제공자와 악성 이용자간 쫓고 쫓기는 싸움이 계속되는 형국이다"고 말했다.

■ 이용자 많은 유명 사이트가 타깃

정상 사이트를 오염 시키는 공격은 XSS 스크립트뿐이 아니다. 구글에서는 검색 문자열을 이용한 피싱이 유행하기도 했다.

예를 들어 "구글 검색창에 '시계'라고 입력하세요"라는 메시지를 보낸 후 이를 시행하면 엉뚱한 스팸 사이트로 연결되는 방식이다. 보통 URL 경로를 보고 스팸 사이트 여부를 식별하는 PC 백신을 구글 문자열로 깜쪽같이 속인 것이다.

아래 화면은 스팸 메시지에 따라 구글에서 'Perfect cheap replica watches online'을 검색/클릭 했을때 뜨는 웹사이트 화면이다.

사진제공 : 시만텍코리아


겉보기엔 이상이 없다. 그러나 마우스를 상태 표시줄에 올려 보면 'www.subtab.net'이란 정체불명의 사이트로 연결된다. 화면 상위 주소창과는 다른 결과다.

이에 대해 시만텍코리아의 윤광택 부장은 "지난해 조사에서 포춘 100대기업 사이트중 상당수에서 피싱 시도가 발견됐다"며 "유명 기업 사이트일수록 공격 대상이되는 만큼 보안에 더 취약할 수 있다"고 설명했다.

지능적인 피싱의 덫을 피하기 위해서는 기업 뿐 아니라 사용자들의 노력도 요구된다. NHN의 설명처럼 기업들이 꾸준히 점검한다고 해도 공격을 원천 봉쇄한다는 것은 사실상 불가능하기 때문이다.

안철수연구소 관계자는 "어떤 방식이든 피싱 공격의 목표는 어차피 악성코드 유포에 있다"며 "사용하는 운영체제에 최신 보안패치를 적용하고 PC백신은 항상 실시간 감시 모드로 유지하는 등 보안수칙을 준수해야 한다"고 강조했다.

출처 : 네이버와 구글도 악성코드 사이트?...XSS 활용한 공격 기승