CISA와 FBI, XSS 취약점 제거 촉구

미국 사이버 보안 및 인프라 보안국(CISA)과 연방수사국(FBI)은 소프트웨어 개발자에게 제품에서 크로스 사이트 스크립팅(XSS) 취약성을 제거할 것을 촉구하는 공동 경보를 발표했습니다. 이 경보는 위협 행위자가 웹 애플리케이션에 악성 스크립트를 주입하고 다양한 컨텍스트에서 데이터를 조작, 도용 또는 오용하는 데 악용될 수 있는 이러한 취약성을 해결하는 것의 중요성을 강조합니다. CISA와 FBI는 기술 제조업체에 소프트웨어를 철저히 검토하고 향후 릴리스가 출시 전에 XSS 취약성이 없는지 확인할 것을 촉구하고 있습니다.

그들은 임원들이 완화책을 구현하고 보안 설계 접근 방식을 채택하기 위해 소프트웨어 개발 프로세스에 대한 공식 검토를 시작할 것을 권고합니다. 경고는 “크로스 사이트 스크립팅 취약성은 제조업체가 입력을 적절하게 검증, 살균 또는 이스케이프하지 못할 때 발생합니다. 이러한 실패로 인해 위협 행위자는 악성 스크립트를 웹 애플리케이션에 주입하여 다양한 컨텍스트에서 데이터를 조작, 도용 또는 오용하는 데 악용할 수 있습니다.

CISA와 FBI는 XSS 취약점을 방지하기 위해 기술 리더에게 위협 모델을 검토하고, 소프트웨어가 입력의 구조와 의미를 검증하는지 확인하고, 내장된 출력 인코딩 기능이 있는 최신 웹 프레임워크를 사용하도록 권고합니다.

또한 개발 라이프사이클 전반에 걸쳐 자세한 코드 검토와 적대적 테스트를 통해 코드 보안과 품질을 유지할 것을 권장합니다. XSS 취약점은 MITRE에서 가장 위험한 소프트웨어 취약점 25위에 올랐으며, 범위를 벗어난 쓰기 보안 결함에 이어 2위를 차지했습니다.

소프트웨어의 XSS 취약점 해결

이 최신 경고는 CISA의 “Secure by Design” 시리즈의 일부로, 사용 가능한 완화책에도 불구하고 소프트웨어 제품에 지속되는 널리 알려진 취약성의 유행을 강조하는 것을 목표로 합니다. 이 기관들은 제조업체가 고객 보안 결과, 투명성 및 책임에 초점을 맞춘 원칙을 채택하도록 권장합니다. 그들은 식별 후 취약성을 탐지하고 패치하는 데만 의존하는 것은 지속 가능한 보안 전략이 아니라고 강조합니다.

대신, 개발 주기 초기에 취약점을 예방하기 위한 효과적인 메커니즘을 채택해야 합니다. 소프트웨어 제조업체의 고위 임원은 제품 취약점에 대한 코드를 정기적으로 테스트하고 검토하여 고객 보안에 대한 책임을 지도록 촉구받습니다. 철저한 테스트를 위한 입증된 방법을 따르고 고객에게 취약점을 공개하는 데 투명성을 가져야 합니다.

지금까지 150개 이상의 소프트웨어 제조업체가 CISA의 “Secure by Design” 서약에 서명하여 처음부터 보안 기술을 우선시하려는 의지를 보여주었습니다. 이러한 지침을 구현함으로써 소프트웨어 제조업체는 XSS 취약성의 위험을 크게 줄이고 제품의 전반적인 보안을 강화하여 사용자를 잠재적인 악용으로부터 보호할 수 있습니다.