안티피싱존, 인터넷쇼핑몰 XSS해킹공격 포착
옥션을 통해 안티피싱존을 다운받아 프로그램을 설치해 인터넷쇼핑몰을 운영하던 김 모씨는 지난 20일, 자신의 쇼핑몰 홈페이지를 접속하자 ‘이 페이지는 크로스사이트스크립팅(XSS)을 이용하고 있습니다. 이 페이지를 차단하시겠습니까’라는 팝업창이 뜨는 것을 확인했다. 이에 따라 운영자가 소프트포럼 측에 문의를 한 결과, 해당 쇼핑몰의 메인 로고가 중국 검색포털 큐큐닷컴(www.qq.com)으로 연결되는 크로스사이트스크립팅(XSS) 공격을 당한 것으로 밝혀졌다.
대표적인 웹 애플리케이션 해킹 공격 중 하나인 크로스사이트스크립팅(XSS)은 국제 웹 보안 표준 기구인(OWASP)에서 발표하는 웹 취약점 Top 10에 포함돼 있는 수법으로 해커가 임의로 웹페이지의 일부를 바꿔 다른 사이트로의 링크를 걸거나 악성코드를 심어 피싱사이트로 유도, 개인정보를 갈취하는 등 치명적인 결과를 가져온다.
소프트포럼 박원규 소프트웨어사업본부장은 “개인정보를 다루고 있는 웹사이트의 90%가 보안에 취약하여 크로스사이트스크립팅(XSS) 등의 해킹 위험에 빠져있다”며 “특히, 최근 빈번히 일어나고 있는 크로스사이트스크립팅은 관리자 권한을 해킹당한 것과 같이 위험성이 높으므로 필수적으로 피싱방지서비스를 통해 사전에 차단, 예방 조치를 하는 등 기업들의 적극적인 보안 시스템 구축 노력이 필요하다”고 말했다.
한편, 안티피싱존은 웹사이트 이용자가 접속하는 웹페이지가 가짜 사이트인지 여부를 분석, 실시간으로 안전한 사이트를 그린 주소창으로 표시해 고객 정보를 지키는 실시간 피싱방지서비스이다. 또한, 악성코드를 이용한 파일 변조, IP변조차단, 제 3의 서버 경유 공격 등의 최신 피싱 기술도 탐지, 위험성을 경고하는 기능을 지니고 있다. 우리은행, 외환은행, 농협 등 약 1만여개의 사이트에서 서비스되고 있는 안티피싱존을 이용하고자 하는 개인 PC이용자는 안티피싱존 홈페이지(http://www.antiphishingzone.com)에서 피싱프로 프로그램을 무료로 다운로드 받아 이용할 수 있다.
소프트포럼 개요
1995년 미래산업㈜의 보안연구소로 처음 사업을 시작한 소프트포럼은 국내최초로 128비트 암호 솔루션과 인터넷 뱅킹 시스템을 개발하면서 1999년 소프트포럼㈜로 정식 출범하는 동시에 국내 최초로 국민은행과 조흥은행에 PKI기반의 인터넷 뱅킹 서비스를 시작했다. EAM(통합인증권한관리)를 개발하여 병무청 등에 제공하였으며, 최근에는 IAM을 개발 중 이다. 이 밖에 소프트포럼은 PKI기반 보안 솔루션 및 서비스를 활용하여 유비쿼터스 관련 서비스와 전자상거래 관련 솔루션, 컨텐츠 보안 솔루션을 제공하고 있다.
웹사이트: http://www.softforum.com
연락처
프레인 전민국 과장 02-3210-9618,
안수연 02-3210-9605 이메일 보내기
-
2011년 5월 12일 09:59