초대장이 사라지면서 발생할 수 있는 문제점에대해 문의했습니다.

며칠전 티스토리의 초대장이 없어졌는데요. 이를통해서 보안적으로 문제가 있을것같아서 티스토리에 한번 문의를 해보았습니다.

결과부터 말씀드리면, 티스토리측 답변으로 보아 보안적으로 크게 문제가 없는것 같네요. 티스토리 자체 보안문제라기 보다는 브라우저취약점 쪽이라 생각해서 그런거일수도 있구요.

티스토리에는 네이버 블로그와는 다르게 HTML 코드를 넣을 수 있습니다. 자바스크립트도 마찬가지로요.

이전에는 초대장을 가진 유저만 개설이 가능하기때문에 1차적으로 악의적인 의도를 가진 사용자들을 걸러냈다고 생각합니다.  초대장이 없어지면서 이제는 daum 아이디를 가진 모든 유저가 개설이 가능하게 되었습니다. 네이버 블로그와 마찬가지로 말이죠. 여기서 문제가 발생합니다. 

제가 생각한 시나리오는 다음과 같은데요.

해커는 pastebin 과같은 사이트에서 많은 daum 아이디를 도용하여, tistory를 개설합니다. 그리고 해커는 그럴싸하게 티스토리를 꾸민후에 오픈 카카오톡에 좋은 정보를 공유하는척 자신의 티스토리 링크를 공유합니다. 사용자들은 티스토리이고, 카카오톡에는 그 링크를 preview 해주는 기능이 있기때문에 사용자들은 전혀 의심을 하지 않고 클릭합니다.

해당 티스토리 블로그안에는 그림과 같은 자바스크립트가 삽입되어있습니다.

특정 티스토리링크를 요청하면, 다른 링크로 리다이렉션되는 기능입니다. 보통은 티스토리를 요청하면 공지를 보여주거나, 메인화면을 따로만들어서 메인화면으로 리다이렉션 하는 용도로 많이쓰입니다.

사용자는 좋은정보가 있다는 링크를 타고 들어가지만, 티스토리내 자바스크립트로 인하여 해커가 임의로 만들어둔 페이지로 접속하게 됩니다. 카카오톡으로 연 링크는 기본브라우저로 설정된 브라우저로 열리게 됩니다. 보통은 크롬이나 웨일을 사용하지만, 은행업무 등의 이유로 익스플로러가 기본 브라우저로 세팅되어있는 경우가 많은데요. 

만약에 인터넷익스플로러 취약점을 알고 있는 해커라면 해당링크에서 익스플로러 취약점으로 인해 Drive by Download와 같은 기법으로 랜섬웨어에 감염될 수 있다는것입니다. 혹은 플래쉬 취약점을 이용할 수도 있구요.

이전의 초대장을 사용할 때는 문제가 없었지만 , 초대장이 없어진 지금은 이런 문제가 발생할 수도 있다고 생각해서 문의를 한번 해보았습니다. 저는 극단적인 시나리오를 생각한것이긴 하지만, 티스토리를 통하여 광고를하거나 불법적인 일에 사용될 수 있다고 생각하였습니다.

답변은 이렇게 왔습니다. 충분히 논의가 되었고 그런 문제에 관해서는 계속정비하겠다 라고 보내주셨네요. 이 답변을 받고 티스토리 내부에서도 많은 회의를하였고 이런 보안문제나 스팸문제가 발생할 수 있음을 고려하고 그에 맞는 대책을 마련해 두었다는걸 알 수 있었네요. 어쨌든 취약점 제보는아니지만.. 현재 배우고 있는것을 활용해서 이런 시나리오를 생각해보고 작성해 보았더니 나름 공부가 되었네요