트위터·페이스북·마이스페이스 등 소셜네트워크서비스(SNS)에 XSS(Cross Site Scripting) 웜이 퍼진다면 대규모 분산서비스(DDoS) 공격이 일어날 가능성이 높다는 주장이 제기됐다.
24일 서울교육문화회관에서 열린 제 14회 해킹방지워크샵에서 해킹그룹 널루트(NULL@ROOT) 소속 이은총 연구원은 웹 페이지에서 웹 페이지로 전파되는 XSS 웜을 이용해 게시글들을 감염시키는 해킹 시연을 펼쳤다.
이 연구원은 “트위터와 같은 SNS 사이트에 존재하는 XSS 취약성을 악용하는 XSS 웜을 이용하면 XSS 웜이 삽입된 페이지를 보는 것만으로도 감염시킬 수 있다”며 “게시물을 삭제하거나 변조시킬 수 있고 아이디, 패스워드를 탈취하거나 DDoS 공격을 일으키도록 특정 홈페이지에 접속 명령을 내릴 수도 있다”고 말했다.
실제, 그는 사이트 ‘싸이틱닷컴’에 접속해 트위터와 같은 구조를 가진 제로보드에서 XSS 웜을 삽입한 게시글을 올렸다. 이후 이 게시글을 본 다른 회원 10명의 게시글이 차례로 감염되는 상황을 시연했다. 감염된 다른 회원들의 게시글은 해커에 의해 변조되거나 성인사이트로 유도되는 등 피해를 입었다.
만약 트위터에서 이 같은 상황이 실제 벌어진다면 XSS 웜은 순식간에 자가 증식하기 때문에 페이지를 본 사용자들은 팔로어들에게 XSS 웜을 전파시킬 수 있어 감염 사례가 일파만파 확산될 가능성이 높다. 특히, XSS 웜을 이용하면 해커가 게시물을 마음대로 변경할 수 있기 때문에 돈을 벌 목적으로 특정 사이트를 광고하거나 성인사이트로 접속되도록 유도할 수도 있고 특정 사이트로 접속하도록 명령을 내릴 수 있어 좀비 사용자들을 다량 양산할 수 있다.
이은총 연구원은 “지난 2005년 마이스페이스에서 실제 XSS 웜을 이용한 전파 사례가 있었다”며 “이 사건은 해커의 단순 과시성이라 20시간동안 100만 명에게 ‘Samy is my hero’라는 글이 전파됐을 뿐이지만 만약 이와 같은 사고에 악의적인 의도를 가진다면 지난 7.7 DDoS와 같은 혼란이 재현될 수도 있다”고 경고했다.
경찰청 사이버테러대응센터 정석화 팀장은 “SNS 사고를 방지하기 위해서는 사업자측면에서 사이트에 보안필터링, 이용자 통신 암호화(SSL) 기술을 적용하고 접속기록 보존 및 자료를 제공하는 등의 노력이 필요하다”고 말했다.
그는 “XSS 웜 같은 경우는 일반적으로 웹페이지에 삽입되지 못하게 되어있지만 관리자가 부주의할 경우 해커에 의해 삽입될 가능성도 높으니 항상 관리자의 주의해야한다”고 말했다.
정 팀장은 “해외 SNS 서비스와 같은 경우 사건을 일으킨 해커를 검거하기 어렵기 때문에 C&C 서버로 악용되는 해외 URL을 즉시 차단하는 등 빠르게 대응해야한다”고 덧붙였다.
◇용어설명: XSS 취약점이란 - XSS는 동적 생성 웹 페이지에 악의적인 스크립트를 넣어 사용자가 해당 페이지를 열람했을 경우 삽입한 스크립트를 실행하도록 함으로써 사용자의 정보를 탈취해가는 웹 해킹 기법이다.
장윤정기자 linda@etnews.co.kr
