구글 검색 결과 조작과 크로스사이트 스크립팅의 위험성

bysu03m 2 min read
0
구글 검색 결과 조작과 크로스사이트 스크립팅의 위험성

1. (대충격) 구글 검색했는데 이상한거 나오는 이유? 지금 구글에 난리 난 360XSS

한줄요약: 구글 검색 결과 조작과 크로스사이트 스크립팅의 위험성
*타임라인을 클릭하면 이동/재생됩니다.
시간 요약
00:33 안전한 웹 사용을 위한 교육이 필요함.
01:03 크로스사이트 스크립팅에 대한 경각심이 필요함.
01:19 크로스사이트 스크립팅의 사례가 증가하고 있음.
01:34 정보의 출처를 확인하는 습관이 중요함.
02:03 구글 검색의 안전성을 높이는 방법을 모색해야 함.
03:35 검색 결과의 신뢰성을 의심해야 함.
06:49 검색 결과의 다양성을 이해해야 함.
07:18 구글 검색의 신뢰성을 높이는 방법이 필요함.
08:48 검색 결과 조작으로 뉴스 내용도 바뀔 수 있음.
09:04 먹튀 검증 사이트와 안전 놀이 검색이 예시임.


이 포스팅은 쿠팡 파트너스 활동의 일환으로, 이에 따른 일정액의 수수료를 제공받습니다.

2. 스크립트

신박한 해킹 기법에 대해서 조금 소개해 볼 건데요. 현대 예수를 본다고 생각하세요. 제가 이번에 가정한 신박한 해킹 기법 첫 번째는 바로 요겁니다. 360 크사. 일단 요거에 대해서 이해를 하려면 크로스 사이트 스크립팅에 대해서 이해를 하셔야 돼요. 깊게 하자면 정말 길어지니까 간단하게만 할게요. 여러분들이 보는 웹사이트 안에는 자바스크립트라는 스크립트 코드가 있어요. 버튼을 클릭하면 반짝반짝 거린다 하거나 가끔 게임을 할 때도 있죠. 그런 것들이 자바스크립트는 프로그래밍 코드가 들어 있기 때문에 가능한 거거든요.


2.1. 안전한 웹 사용을 위한 교육이 필요함.

안전한 웹 사용을 위한 교육이 필요함.
Fig.1 - 안전한 웹 사용을 위한 교육이 필요함.

모든 웹페이지 안에는 자바스크립트를 넣을 수가 있는데요. 문제는 여기서 발생합니다. 정상적인 자바스크립트는 괜찮아요. 그런데 해커가 삽입한, 어떻게 보면 악성 코드죠. 악성 자바스크립트가 들어간다면 어떤 일이 발생할까요? 예를 들면, 이 사람의 아이디와 비밀번호를 빼오는 코드나 세션 아이디, 계정에 대한 권한을 빼앗아 간다거나 해커가 공격에 활용할 수 있는 나쁜 짓 코드를 여기다가 넣어 두는 거예요. 이런 공격 기법들을 크로스사이트 스크립팅 공격이라고 우리는 이야기합니다. 이 스크립트를 어떻게 삽입하는지 대표적으로 두 가지 방법이 있어요. 스토어드 크로스사이트 스크립팅과 리플렉티드 크로스사이트 스크립팅, 요렇게 두 가지로 나눌 수가 있습니다. 리플렉티드 크사, 요렇게 링크로 만들 수가 있거든요.

2.2. 크로스사이트 스크립팅에 대한 경각심이 필요함.

크로스사이트 스크립팅에 대한 경각심이 필요함.
Fig.2 - 크로스사이트 스크립팅에 대한 경각심이 필요함.

이거 클릭해 보세요라고 말을 해요. 어, 이게 뭐지? 하고 클릭을 하면 사이트에 계정이 털리기도 합니다. 링크 클릭을 조심하세요라고 하는 말이 요런 이유도 있어요.

2.3. 크로스사이트 스크립팅의 사례가 증가하고 있음.

크로스사이트 스크립팅의 사례가 증가하고 있음.
Fig.3 - 크로스사이트 스크립팅의 사례가 증가하고 있음.

자, 여기까지 제가 크로스사이트 스크립팅에 대해서 간단하게 설명을 했고, 요렇게 링크로 만들 수 있다라는 것까지 제가 설명을 드렸죠. 자, 360 사는 요령 블로그에다가 다 정리를 해 두셨어요. 좀 인사이트가 굉장히 뛰어나신 분인 것 같아요. 이 취약점을 어떻게 찾게 되었는지 과정까지 제가 설명해 드리도록 할게요. 이 취약점을 어떻게 찾게 되었는가? 크롬에 익명 모드로 구글에 간 다음에 PN, 이게 뭔지 아시죠? 그런데 이분은 오해하지 마세요. 얼리 에듀케이셔널 퍼포즈, 교육적인 목적으로 연구를 하고 있던 찰나에 발견한 겁니다.

2.4. 정보의 출처를 확인하는 습관이 중요함.

정보의 출처를 확인하는 습관이 중요함.
Fig.4 - 정보의 출처를 확인하는 습관이 중요함.

여러분들 오해하시는 그런 거 아니에요. 요렇게 검색을 하니까 이런 걸 발견합니다. 어떤 성인 사이트가 나왔어요. 그런데 이 성인 사이트를 잘 보니까 예일대학교에서 성인물 산업에 진출을 했나? 미국이다 보니까 오픈 마인드, 뭐 대학생들도 성인이고. 그런데 아무리 생각을 해도 성인물 산업에 진출을 할까? 그래서 이분은 이 링크를 클릭했대요. 그랬더니 예일대학교가 나오는 게 아니라 19금 사이트로 나왔어요.

2.5. 구글 검색의 안전성을 높이는 방법을 모색해야 함.

구글 검색의 안전성을 높이는 방법을 모색해야 함.
Fig.5 - 구글 검색의 안전성을 높이는 방법을 모색해야 함.

이 연구원이 클릭했던 주소가 그거였어요. 어라, 뒤에 이상한 주소가 붙어 있죠? 혹시 이 사이트가 이상한 사이트인가? 뒤에 있는 걸 다 지우고요, 앞에 부분만 남기고 들어가 봤대요. 예일대학교 사이트가 맞아. 3D 가상 투어하는 사이트였습니다. 로드 뷰어 이런 거 있죠? 그 기능이었어요. 딱 봐도 이 뒤에 있는 주소를 바꾸면 이 주소로 이동하는 건가? 이런 걸 우리는 오픈 리다이렉트 취약점이라고 합니다. 그래서 처음에 이 연구원은 요거를 싹 지우고 나서 example.com 사이트를 넣었어요. 아니었어요. 페이지가 이동되는 게 아니야.

그러면 오픈 리다이렉트 취약점은 아니고, 뭔데 이걸 들어가면 성인물 사이트로 이동을 하는 걸까? 그거를 분석하기 시작합니다. 요 주소가 참 수상하죠? 여러분들이 보기에도 그죠? 들어가 봤더니 이런 응답이 오더래요. XML 태그가 응답이 되고 있었던 거예요. 요걸 가져오고 이 페이지에 포함을 시키고 있었던 겁니다. 자, 근데 여기 눈 크게 뜨고 보면 KR 파오가 무엇이냐? 유명한 3D 뷰어에. 그리고 이 뒤에 보면 온 로드라고 보이시죠? 온로드는 무엇이냐? 얘가 로드가 되는 순간 뒤에 자바스크립트를 실행할 수가 있는 거예요.

온로드 해서 자바스크립트 코드인데 베이스 64로 인코딩해서 넣어 놓은 거 보이시죠? 이게 악성 스크립트인 거죠. 크로스사이트 스크립팅에 악성 스크립트인 겁니다.

2.6. 검색 결과의 신뢰성을 의심해야 함.

검색 결과의 신뢰성을 의심해야 함.
Fig.6 - 검색 결과의 신뢰성을 의심해야 함.

이걸 열어보니까 요겁니다. 코드가 별거 없어요. 그냥 성인물 사이트에 이동시켜 주는 것밖에 없어요. 자, 이분은 흥분했습니다. 어, 아니 그 성인물을 보고 흥분한 게 아니라 취약점을 찾았다는 생각에 굉장히 흥분했어요. 엄청난 취약점을 찾았구나. 조사를 해보니까, 야, 조금 실망스럽게도 2020년도에 발견되었던 취약점이었어요. 그러면 이미 다 고쳤지만 안 돼.

그런데 지금 왜 이 문제가 있느냐? 스코어가 미디움, 위험도가 낮다고 판단한 거예요. 이 당시에 이 취약점이 공개되었을 때 사람들이 이야기합니다. 이거 위험한 거 아니에요? 이 KR 파노 개발자들이 그거 있잖아요. 너희들이 잘못 써서 그런 거지. 패스 쿼리 파라미터 설정을 잘 해 주잖아요. 그거 취약점 없습니다.

이게 무엇이냐? 패스 쿼리 파라미터를 트루로 놓으면 모든 파라미터가 전달이 된다. 여기에서 크로스사이트 취약점이 존재할 수가 있으니까 홀수로 설정을 해라. 일부 허용된 애들만 받아들일 수가 있습니다. 조금 더 안전하게 쓸 수가 있어요.. 제가 말을 했는데, 여러분들이 방금 본 문제는 폴스 되어도 크로스사이트 스크립팅 취약점이 발생하는 겁니다. 허용된 리스트가 있는데, 그 허용된 리스트 안에 XML이라는 파라미터가 존재했던 거죠.

제대로 고치지 않은 겁니다. 이 연구자가 궁금해서 테스트를 해봤습니다. KR 파노 공식 홈페이지에서 해보니까, 심지어 이 사이트에서도 문제점이 있다는 걸 확인했습니다. 그래서 이 사람은 궁금한 거예요. 지금 이 문제가 예일대학교만 있는 건가? 생각보다 이게 굉장히 큰 문제가 있었던 거예요. 예일대뿐만 아니라 CNN, 정부 사이트, 아트플, KR 파노라 라이브러리를 사용하고 있는 사이트들에서도 똑같이 문제가 있었던 겁니다.

정부 사이트에서 이런 글을 올리겠어요? 자, 이게 지금 360 크로스사이트 스크립팅에 대한 이야기였고, 여기서 핵심이 나옵니다. 사실 크로스사이트 스크립팅 취약점이 발생할 수 있어요. 그런데 해커는 지금 이걸로 뭘 하고 있었느냐? 기껏 해봤자 계정을 탈취하는 정도만 했었거든요. 그런데 이 사람이 이렇게 이야기를 합니다. XSS라고 명명을 했어요. 자기가 크로스사이트 스크립팅을 이용해서 SEO 포이즈닝을 해버립니다.

검색 결과를 조작하는 거예요. 어떻게 조작을 하느냐? 기발해요.

2.7. 검색 결과의 다양성을 이해해야 함.

검색 결과의 다양성을 이해해야 함.
Fig.7 - 검색 결과의 다양성을 이해해야 함.

들어보세요. 자, KR 파오를 이용하는 사이트를 먼저 찾아서 거기에 리플렉티드 크로스사이트 스크립팅 링크를 만들어 보세요. 지금요, 사이트는 구글로 했어요. 그럼 구글 사이트잖아요? 구글 사이트인데 해커로 이동을 한단 말이에요.

2.8. 구글 검색의 신뢰성을 높이는 방법이 필요함.

구글 검색의 신뢰성을 높이는 방법이 필요함.
Fig.8 - 구글 검색의 신뢰성을 높이는 방법이 필요함.

구글.com은 구글이 인정한 사이트죠. 예일대학교가 인정한 유명한 사이트죠. 정상적인 사이트이기 때문에 검색했을 때 상단에 올라오는 거예요. 이게 무엇이냐? 구글 서치 콘솔이라는 어떤 도메인들을 검색이 잘되게 만들 수 있는 도구가 있거든요. 여기에다가 등록을 하는 겁니다. '카지노' 이런 걸 검색하면, 정부 사이트의 도메인으로 이상한 글이 나오게 만들 수 있는 겁니다. 구글, 페이스북 같은 도메인들은 상단에 위치하게 된단 말이에요. 공짜로 광고를 뿌리는 거죠.

지금 여러분들도 한번 검색해 보시면, 저도 아까 자료 조사하면서 찾아봤거든요. 우리나라 사이트들도 있어요. 이게 지금 생각보다 파급력이 엄청 컸습니다. 그리고 이 사람이 분석하기를, 자 무료 광고 조회수 올리는 거, 유튜브 조회수 올리기 이런 것들을 서비스로 만들어서 팔고 있었던 거죠. 여러분들도 요즘 좀 이상하다 싶었죠? 그리고 이걸 역으로 또 다르게 활용할 수가 있어요. 악성 스크립트를 삽입할 수 있다고 했죠? HTML 태그도 삽입할 수 있다는 거예요.

자, 이거 보시면 이질이 전혀 없죠? 신뢰할 수 있는 배팅 사이트, 신뢰할 수 있는 카지노 사이트, CNN이 이런 걸 쓰겠어요? 이런 걸 할 수 있다는 거예요. 악성 스크립트 대신에 HTML 코드를 삽입하게 만들어서 가짜 뉴스를 살포하는 거죠.

2.9. 검색 결과 조작으로 뉴스 내용도 바뀔 수 있음.

검색 결과 조작으로 뉴스 내용도 바뀔 수 있음.
Fig.9 - 검색 결과 조작으로 뉴스 내용도 바뀔 수 있음.

기가 막히죠? 이런 걸 이용하면 CNN뿐만 아니라 백악관에서도, 혹은 워싱턴 같은 권위 있는 곳에서도 스크립트를 삽입할 수 있다는 거예요. 저는 이게 핵심이라고 봐요. 사실 크로스사이트 스크립팅이 일어난다는 것은 그냥 흔한 일이에요. 그런데 이걸 가지고 검색 결과를 조작한다고 뉴스 내용도 바꿀 수 있어요.

2.10. 먹튀 검증 사이트와 안전 놀이 검색이 예시임.

먹튀 검증 사이트와 안전 놀이 검색이 예시임.
Fig.10 - 먹튀 검증 사이트와 안전 놀이 검색이 예시임.

심지어 정말 신기하지 않나요? 먹튀 검증 사이트, 안전 놀이 이런 거 구글 검색하면, 아, 요렇게 검색하면 되겠다. 자, 요런 데죠. 뭐 예를 들어서, 제가 보여드리려고 했는데 너무 민감한 게 나와서 혼자 좋은 거 보시네. 안 봤고, 타이틀이 딱 봐도 안 되겠다 해가지고 제가 안 열지 않은 겁니다..

3. 영상정보


이 포스팅은 쿠팡 파트너스 활동의 일환으로, 이에 따른 일정액의 수수료를 제공받습니다.

댓글 쓰기

다음 이전