발견된 취약점은 ‘크로스 사이트 스크립팅(cross-site scripting, XSS)’ 결함으로, 브라우저가 널(null) 바이트 문자라 포함된 스트링이 포함된 자바 스크립트를 처리하는 방식에서 발생한다. 한 사이트 컨텍스트 안에서 작동하는 스크립트가 다른 웹사이트 내의 스크립트와 상호작용하는 것을 방지하는 보안 제어인 ‘동일-출처 정책(same origin policy)’이 무력화된다.
메타스플로잇 프레임워크(Metasploit Framework)의 기술 책임자 토드 비어즐리는 “이 말은 스패머나 스파이가 만든 임의의 웹사이트가 다른 웹 페이지의 콘텐츠 내부를 엿볼 수 있다는 것을 의미한다”고 설명했다. 이어 “메일 등의 링크를 클릭해 공격자의 사이트를 방문할 경우, 이 공격자는 사용자의 세션 쿠키 복사본을 만들고, 세션 하이재킹 공격을 가할 수 있다. 또한, 사용자가 읽고 쓰는 웹메일의 내용을 몰래 훔쳐볼 수 있게 된다”고 덧붙였다.
독립 보안 연구원 라파리 발로치가 이 취약점을 처음 발견했으며, 지난 8월 31일 자신의 블로그에 이 보안 취약점의 개념 증명에 대한 글을 게시했다. 그러나 메타스플로잇 팀이 감염된 페이지를 열어 본 사용자의 인증 쿠키를 훔치는 데 이용할 수 있는 모듈을 개발할 때까지도 이 취약점은 주목 받지 못했다.
로드 비어즐리는 “이 취약점을 파악하기 위한 연구와 실험이 계속 진행 중이다”며, “이 취약점이 해결된 정확한 시기를 밝히고, 이 취약점이 얼마나 퍼졌는지를 알아내고자 한다. 어찌됐든, 안드로이드 4.4 이하 버전이 탑재된 기기는 전체 안드로이드의 75%를 차지하고 있다”고 말했다.
취약점에 감염됐다고 판단되는 사용자라면, 크로스사이트 스크립팅에 노출되지 않은 크롬, 파이어폭스, 돌핀 브라우저, 오페라와 같은 다른 웹브라우저를 설치하는 것이 좋다. editor@itworld.co.kr