SVG 취약점, X, Vercel, Discord를 뚫다!
SVG 파일 내 스크립트 실행 취약점을 악용한 공급망 공격으로 X, Vercel, Cursor, Discord가 피해를 입음
공격자는 Discord 세션 쿠키 탈취, 개발자 앱 조작, API 접근 권한 획득 등 광범위한 권한을 획득 가능
커뮤니티는 취약점의 심각성에 비해 낮은 보상금액과 AI 기반 스타트업의 보안 취약성에 대한 우려를 표명
SVG 스크립트 실행 취약점
SVG 파일은 HTML과 유사하게 스크립트 실행을 허용하여 XSS 공격에 취약하다. 구체적으로, 악성 SVG 파일을 통해 Discord의 세션 쿠키를 탈취하고, 개발자 앱을 조작하여 봇 추가, 시크릿 변경 등의 행위가 가능하다. 따라서, SVG 파일 업로드 시 필터링 및 보안 검증이 필수적이며, Content Security Policy (CSP) 설정을 통해 스크립트 실행을 제한해야 한다.
낮은 보상금액에 대한 비판
취약점의 심각성에 비해 낮은 보상금액은 커뮤니티의 비판을 받았다. XSS 공격으로 인한 피해 규모가 매우 큼에도 불구하고, 보상금액이 4,000달러에 불과하다는 점은 취약점 신고에 대한 동기를 저해할 수 있다. 반면, 버그 바운티 프로그램의 적절한 보상 체계는 보안 강화에 기여하며, 취약점 발견을 장려한다.
AI 기반 스타트업의 보안 취약성
AI 기반 스타트업의 보안 취약성에 대한 우려가 제기되었다. Mintlify와 같은 AI 기반 문서화 스타트업이 복잡한 캐싱 아키텍처를 구축했음에도 불구하고, 기본적인 보안 검증에 실패한 사례는 시사하는 바가 크다. 결과적으로, AI 기술 도입 시 보안 전문가의 참여와 철저한 검증을 통해 잠재적 위험을 최소화해야 하며, 공급망 공격에 대한 대비가 필요하다.
