‘안티피싱존’, 인터넷쇼핑몰 XSS해킹공격 포착

소프트포럼(대표 김상철 www.softforum.com)은 농협, 옥션 등 인터넷뱅킹 이용고객 및 인터넷쇼핑몰 이용 소비자, 개인정보제공자들을 대상으로 실시하고 있는 자사의 실시간피싱방지서비스 안티피싱존이 모 인터넷의류전문쇼핑몰 대상의 해킹 공격을 감지, 해당 쇼핑몰 이용자들의 해킹사고 피해를 방지했다고 밝혔다.

옥션을 통해 안티피싱존을 다운받아 프로그램을 설치해 인터넷쇼핑몰을 운영하던 김 모씨는 지난 20일, 자신의 쇼핑몰 홈페이지를 접속하자 ‘이 페이지는 크로스사이트스크립팅(XSS)을 이용하고 있습니다. 이 페이지를 차단하시겠습니까’라는 팝업창이 뜨는 것을 확인했다. 이에 따라 운영자가 소프트포럼 측에 문의를 한 결과, 해당 쇼핑몰의 메인 로고가 중국 검색포털 큐큐닷컴(www.qq.com)으로 연결되는 크로스사이트스크립팅(XSS) 공격을 당한 것으로 밝혀졌다.·

대표적인 웹 애플리케이션 해킹 공격 중 하나인 크로스사이트스크립팅(XSS)은 국제 웹 보안 표준 기구인(OWASP)에서 발표하는 웹 취약점 Top 10에 포함돼 있는 수법으로 해커가 임의로 웹페이지의 일부를 바꿔 다른 사이트로의 링크를 걸거나 악성코드를 심어 피싱사이트로 유도, 개인정보를 갈취하는 등 치명적인 결과를 가져온다.

소프트포럼 박원규 소프트웨어사업본부장은 “개인정보를 다루고 있는 웹사이트의 90%가 보안에 취약하여 크로스사이트스크립팅(XSS) 등의 해킹 위험에 빠져있다”며 “특히, 최근 빈번히 일어나고 있는 크로스사이트스크립팅은 관리자 권한을 해킹당한 것과 같이 위험성이 높으므로 필수적으로 피싱방지서비스를 통해 사전에 차단, 예방 조치를 하는 등 기업들의 적극적인 보안 시스템 구축 노력이 필요하다”고 말했다.

한편, 안티피싱존은 웹사이트 이용자가 접속하는 웹페이지가 가짜 사이트인지 여부를 분석, 실시간으로 안전한 사이트를 그린 주소창으로 표시해 고객 정보를 지키는 실시간 피싱방지서비스이다.

전자신문인터넷 장윤정 기자 linda@etnews.co.kr