본문 바로가기

새로운 소식/스킨 (Skin)

QR 코드 노출건에 대해 공유드립니다.

안녕하세요. TISTORY입니다.

지난 주말 일부 티스토리 사이트에 선물이라는 문구와 함께 피싱사이트로 연결되는 QR코드가 나타났습니다. 이 QR코드는 외부 리소스를 직접 사용하는 스킨에 나타나고 있었고 티스토리는 이를 인지한 즉시 QR코드가 표시되지 않도록 임시조치하였습니다.

원인

문제가 나타난 스킨은 다음과 같이 NotoSansKR 폰트를 사용하기 위해 외부 리소스를 사용하고 있었는데 이 외부 리소스가 NotoSansKR 웹폰트를 제공하는 대신 QR코드를 표시하기 시작했습니다.

/* 외부 리소스의 사용 */
@import url(http://notosanskr-hestia.s3-website-ap-northeast-1.amazonaws.com/stylesheets/NotoSansKR-Hestia.css);

/* QR코드를 표시하도록 변경된 외부 리소스의 내용 */
div#sidebar:before {
  content: url(http://notosanskr-hestia.s3-website-ap-northeast-1.amazonaws.com/qr.png);
}

조치 내용

티스토리는 사용자의 데이터를 직접 수정하지 않으나 이번은 예외로 두어 영향받는 사이트의 스킨을 일괄수정하기로 했습니다. 현재 영향받는 6492개 사이트에서 문제가 되는 외부 리소스 코드를 삭제하여 더이상 QR코드를 나타나지 않음을 확인했습니다.

피해자를 보호하기 위한 조치이니 양해바랍니다.

피해 방지를 위한 조치

앞으로 티스토리를 통해서 제공하는 모든 스킨은 철저히 검증하여 여러분이 피해를 당하지 않도록 주의하겠습니다. 스킨을 수정하시는 모든 분들께서도 다음의 사항을 확인하시고 주의해주시기 바랍니다.

  1. 검증된 외부 리소스만 사용하세요. 검증되지 않은 javascript를 사용하는 경우 더욱 큰 피해를 입을 수도 있습니다.
  2. Square 스킨을 스킨보관함에 저장했거나 예전에 다운로드 받아둔 경우 적용할 때 위의 리소스가 있는지 확인해주세요.

다수의 사이트가 영향받은 원인

Square 스킨은 티스토리 스킨 공모전을 통해 제공되고 있습니다. 공모전 출품당시 이 스킨은 문제가 된 외부리소스를 사용하고 있었습니다. 티스토리는 외부리소스의 위험성을 알아차린 후 즉시 제공하던 스킨에서 문제가 되는 부분을 제거하였고 스킨제작자도 패치를 하였습니다.

이번에 문제가 나타난 사이트는 패치되기 전 스킨을 직접 수정하여 사용자의 공간으로 스킨 데이터를 이전한 곳입니다. 이 곳은 여전히 외부리소스가 사용되고 있었습니다.


미리 피해를 막지 못해 좋지 않은 소식을 전해드려 죄송합니다. 앞으로 더욱 안전한 티스토리를 만들기 위해 노력하겠습니다.

감사합니다.