글로벌 기업 소니(Sony)의 한국 사이트인 ‘소니코리아’에서 XSS 취약점(Reflective XSS)이 발견돼 시급한 보안 조치가 요청된다. 최근 소니의 온라인 게임 서비스 ‘플레이스테이션(PSN)’은 분산서비스거부(디도스:DDoS)공격을 받아 다운된 바 있다.
사용자들은 소니 플레이스테이션 네트워크에 접속해 게임을 즐기다가 연결 중단 현상을 경험하고 수차례 소니에 보고했으나 소니는 자신들의 네트워크 상태는 안정적이라며 무시하는 등 최악의 대응 자세를 보이다 온라인 엔터테인먼트 사업부의 총 책임자인 존 스메들리(John Smedley)가 “대규모 디도스 공격을 받고 있다”는 의견을 트위터로 밝히고 나서야 디도스 공격 차단에 본격 나섰다.
이번 DDoS 공격으로 보안강화가 시급한 소니지만 소니코리아는 웹 취약점을 그대로 노출하는 등 보안 강화에 있어 여전히 무감각해 보인다.
화이트 해커 그룹 락다운(LockDown)에 의해 발견된 이번 취약점은 사이트 특정 부분에 특정 구문을 넣어주면 작은 박스를 만들어 그 안에 다른 사이트를 연결 할 수 있도록 만들 수 있는 점을 이용하는 간단한 수법으로 그 박스의 크기를 0으로 줄인 후 박스 안에 해커가 미리 만들어 놓은 악성 웹페이지를 연결시키면 공격자는 순식간에 좀비 PC를 만들어 낼 수 있다.
세계적으로 유명한 글로벌 기업인 소니를 사칭하여 악성 링크를 배포하면 좀비 PC 생성은 물론이며 특히 링크 또한 수상한 사이트가 아닌 소니코리아의 검색창을 그대로 사용하기 때문에 사용자들이 의심하기 힘든 구조라 더욱 심각한 취약점이다.
XSS는 대응책을 마련하기에 어려운 취약점이 아니며 아주 쉽게 찾을 수 있는 기본적인 취약점으로 보안 관리자나 담당자가 없는 중소기업에서 흔히 노출되는 이 사례가 세계적인 기업인 소니코리아에서 발견된다는 것은 보안에 있어 그만큼 소홀하다는 것으로 사료된다.
하루에 수백에서 수천 명의 PC를 좀비 PC로 만들 수도, 목적에 따라 각종 금융정보 및 개인정보를 모두 탈취할 수 있는 이 취약점의 피해자는 소니코리아를 이용하는 고객들이므로 소니코리아는 빠른 시일 내에 취약점을 개선하고 보안에 종합적인 만전을 기할 필요가 있어 보인다.
By 김유나기자(yuna@koreaittimes.com)
