SEOUL, KOREA - LG전자, LG ELIT, LG 사이언스랜드 홈페이지의 검색영역에서 태그가 실행되는 Reflective XSS 취약점이 발견되었다.
LG전자, LG ELIT, LG 사이언스랜드에 존재하는 XSS 취약점은 국제웹보안표준기구(OWASP)가 지정한 3대 웹 보안 위협으로 꼽힐 만큼 위험도가 높다. 또한 이미 안전행정부는 2012년 발표한 보안 가이드라인을 통해 XSS 대응 방안을 제시한 바가 있으나 이를 국내 대기업 그룹사인 LG가 따르지 않은 것이다.
이번에 발견된 XSS취약점은 홈페이지의 검색창이나 URL에 스크립트를 삽입해 액션이 발생하도록 하는 방식이다. 공격자는 ‘kwd=악성사이트로 이동시키는 명령어’를 삽입시켜 인터넷 커뮤니티 등에 배포하여 링크를 클릭하도록 유도함으로써 악성코드를 얼마든지 유포시킬 수 있다.
또한 악성코드 제작자의 악성코드 제작 목적에 따라 각종 금융정보를 비롯한 개인정보유출, 키로깅 등 대대적인 보안 사고가 일어날 수 있다.
취약점은 인터넷 익스플로러6, 7에서 발생하며 파이어폭스의 경우 모든 버전에서 취약하다. 또한 인터넷 익스플로러8 이상의 버전에서 XSS필터링 설정을 사용 안함으로 설정한 경우에도 발생한다.
화이트해커 그룹 락다운은 “검색을 시도할 때 “<”와 “>”라는 문자가 들어오면 삭제 후 검색 결과를 보여주거나 아예 검색이 되지 않도록 하는 것이 좋다“고 조언했다.
LG전자, LG ELIT, LG 사이언스랜드는 많은 이용자를 가진 사이트인데 현 시점과 같은 웹 보안 수준이 계속 되면 해당 취약점을 악용한 공격자에 의해 피해를 입는 사이트 이용자들이 속출할 것이다.
By 김유나기자(yuna@koreaittimes.com)
