새로운 XSS 위협은 OAuth 소셜 로그인을 악용하여 수백만 개의 웹사이트를 위험에 빠뜨립니다.

API 보안 회사인 Salt Security의 연구 부문인 Salt Labs는 최근 전 세계 수백만 개의 웹 사이트에 영향을 미칠 수 있는 심각한 XSS(교차 사이트 스크립팅) 취약점을 발견했습니다. 중앙에서 패치할 수 있는 제품 취약점과 달리 이 문제는 소셜 로그인에 널리 사용되는 앱인 OAuth를 웹 코드 내에서 구현하는 데서 발생합니다. XSS 위협이 과거의 일이라는 개발자들의 공통된 믿음에도 불구하고 Salt Labs의 조사 결과는 웹 보안에 대한 중요한 감독을 강조합니다.

익숙함의 안일함

소셜 로그인을 위한 OAuth 구현의 용이성은 개발자들 사이에서 안주감을 불러일으켰습니다. 그러나 이러한 친숙함은 심각한 실수로 이어질 수 있습니다. 근본적인 문제는 기존 생태계에 새로운 기술과 프로세스를 도입하는 데 있으며, 이는 확립된 균형을 깨뜨릴 수 있습니다. 이는 OAuth 자체의 결함이 아니라 다양한 웹사이트에서 구현되는 방식에 있는 결함입니다. Salt Labs는 세심한 주의와 엄격함 없이 OAuth를 사용하면 현재 완화 조치를 우회하는 새로운 XSS 경로를 생성하여 잠재적으로 완전한 계정 탈취로 이어질 수 있다는 사실을 발견했습니다.

사례 연구: HotJar 및 Business Insider

Salt Labs의 연구는 HotJar와 Business Insider라는 두 유명 회사의 구현에 중점을 두었습니다. 이들 회사는 상당한 보안 상태와 처리하는 개인 식별 정보(PII)의 양이 상당하기 때문에 선택되었습니다. 이러한 주요 기업이 OAuth를 잘못 구현할 수 있다면 규모가 작고 리소스가 부족한 웹사이트에서도 유사한 오류가 발생할 가능성이 높습니다. Salt Security의 연구 부사장인 Yaniv Balmas는 Booking.com, Grammarly 및 OpenAI를 포함한 웹사이트에서 유사한 OAuth 문제가 발견되었지만 보고서에는 포함되지 않았다고 밝혔습니다.

특히 HotJar는 광범위한 시장 포화 상태와 수집하는 방대한 양의 사용자 데이터로 인해 주목을 받았습니다. Google Analytics와 유사하게 작동하는 HotJar는 스크린샷, 키보드 클릭, 마우스 동작을 포함한 사용자 세션 데이터를 기록합니다. 이 데이터에는 이름, 이메일, 주소, 개인 메시지, 은행 정보 및 자격 증명과 같은 민감한 정보가 포함될 수 있습니다. 발견된 취약점으로 인해 공격자는 로그인 비밀을 위조하고 가로채서 OAuth 소셜 로그인 프로세스를 악용하여 사용자 계정에 대한 무단 액세스 권한을 얻을 수 있습니다.

공격 방법론

공격 방법에는 XSS와 OAuth 로그인 흐름을 결합하는 것이 포함됩니다. 합법적인 HotJar 소셜 로그인 요청을 모방한 제작된 링크가 공격을 시작합니다. 피해자가 이 링크를 클릭하면 공격자는 로그인 비밀을 가로채어 계정 전체를 탈취할 수 있습니다. 이 취약점은 많은 웹사이트가 이를 간과하거나 실행할 전문 지식이 부족한 보안 구현 방식의 중요성을 강조합니다.

사전 조치 및 도구

이러한 조사 결과에 따라 Salt Labs는 웹사이트 운영자가 잠재적인 OAuth XSS 구현 문제를 식별하고 해결하는 데 도움이 되는 방법론과 무료 스캐너 도구를 발표했습니다. 이러한 사전 예방적 접근 방식은 위험이 심각한 보안 위반으로 확대되기 전에 위험을 완화하는 것을 목표로 합니다. Balmas는 100% 성공을 보장할 수는 없다고 경고하지만 이 도구는 조직이 보안 태세를 강화할 수 있는 귀중한 조기 경고 시스템을 제공합니다.

Salt Labs의 발견은 OAuth와 같이 널리 신뢰받는 기술이라도 부지런하고 안전한 구현이 필요하다는 사실을 극명하게 상기시켜 줍니다. 디지털 환경이 계속 발전함에 따라 강력한 사이버 보안 관행에 대한 우리의 경계와 헌신도 마찬가지입니다.