주요 인터넷 사이트 교차사이트스크립팅 공격 무방비

　미국 ‘컴퓨터침해사고대응팀(CERT)’이 이미 18개월 전에 경고했던 교차사이트스크립팅(cross-site scripting) 공격에 대해 자국 주요 인터넷 기업의 사이트들이 아직까지 무방비 상태인 것으로 밝혀졌다.

　뉴스바이트에 따르면 최근 보안 메일링시스트 사이트인 번웟치(VulnWatch.org)에 아메리카온라인의 ‘숍@AOL닷컴’, AOL의 ICQ인스턴트 메시징 포털 사이트 ‘ICQ닷컴’, 야후 프랑스어 사이트 등 3개 사이트가 교차사이트스크립팅 공격에 취약한 결함을 갖고 있다는 보고가 잇따라 게시됐다.

　야후 프랑스어 사이트의 결함을 보고한 프랑스 보안포털 아이시큐어랩스닷컴(iSecureLabs.com)의 카베종 오레리앙은 “야후에 결함을 알렸으며 이후 야후가 이 문제를 해결했다”고 말했다. 그러나 그에 따르면 ICQ닷컴의 결함은 여전히 시정돼지 않은 상황이다. 또 브레이크윈도스닷컴(BreakWindows.com)의 운영자인 존 브리튼에 의해 발견된 샵@AOL닷컴의 취약점 역시 그대로 방치돼 있다. 이에 대해 3개사는 즉각적인 논평을 회피했다.

　이번에 보고된 결함은 인가받지 않은 사용자가 사이트의 탐색기능을 이용해 HTML 태그나 스크립트를 사이트의 URL 주소에 삽입해 웹 서퍼의 데이터를 훔쳐낼 수 있게 한다.

　지난해 2월 미국 FBI의 국가인프라스트럭처보호센터(NIPC)와 CERT는 교차사이트스크립팅을 경고한 공동 상황보고서를 내놓았다.

　CERT의 교차사이트스크립팅에 대한 보고서는 CERT의 사이트(http://www.cert.org/advisories/CA-2000-02.html)에 실려있다.

　<황도연기자 dyhwang@etnews.co.kr>