취약점
이 태그가 달린 문서 18건
MOVEit 대규모 유출 사고(2023) — SQL 인젝션 제로데이가 2,700개 이상 조직에 도달한 경위와 방어법
진입점은 인터넷에 노출된 MOVEit Transfer의 SQL 인젝션 제로데이(CVE-2023-34362)였습니다. 웹 셸(LEMURLOOT)이 심어지고 백엔드 데이터베이스에서 데이터가 대량 탈취되어 2,700개 이상 조직, 약 9,330만 명에게 피해를 입혔습니다. 대부분의 피해자는 벤더가 MOVEit을 썼기 때문에 간접적으로 끌려 들어갔습니다. 여러분의 환경에서는 KEV 신속 패치, 노출 최소화, 웹↔DB 최소 권한과 분리, 벤더 인벤토리와 데이터 최소화가 핵심입니다.
CORS란 — 작동 원리와 잘못된 설정이 노출하는 것
CORS는 다른 오리진의 JS가 내 API 응답을 읽을 수 있는지를 브라우저가 제어하는 방식입니다. 설정 오류 — 임의의 Origin 반사, 또는 자격 증명과 함께 Access-Control-Allow-Origin:* — 는 제3자 사이트가 로그인된 데이터를 읽게 합니다. 진짜 방어: 허용 목록, Origin 무분별 반사 금지, 기본 거부.
세션 고정(Session Fixation)이란 — 공격자가 이미 아는 ID로 피해자를 로그인시키는 공격
세션 고정은 공격자가 아는 세션 ID를 피해자가 쓰게 만든 뒤, 그 ID로 로그인하면 피해자를 가장하는 공격입니다. 진짜 방어법: 로그인 시(그리고 권한 변경 시) 세션 ID를 재생성하는 것. URL의 ID를 받지 말고, HttpOnly/Secure/SameSite로 쿠키를 강화하세요.
IDOR이란 — ID만 바꿔서 남의 데이터를 보게 되는 것
IDOR은 사용자가 ?id=124를 125로 바꿔 남의 청구서나 개인 데이터를 읽게 만드는 — 취약한 접근 제어입니다. 진짜 방어: 매 접근마다 서버 측에서 로그인된 사용자가 이 객체에 권한이 있는지 검사하기. 추측하기 어려운 ID는 해결책이 아닙니다.
클릭재킹이란 — 숨겨진 버튼을 누르게 만드는 보이지 않는 함정
클릭재킹은 진짜 사이트를 공격자 페이지 위에 투명하게 겹쳐, 사용자가 의도치 않은 행동(송금, 설정 변경, 동의)을 하게 만듭니다. 진짜 방어는 프레임에 끼이지 않는 것 — CSP frame-ancestors와 X-Frame-Options입니다.
오픈 리디렉션이란 — 신뢰받는 URL이 다른 사이트로 가는 발판이 되는 취약점
오픈 리디렉션은 ?next= 형태의 파라미터가 사용자를 임의의 외부 사이트로 넘겨 보내, 신뢰받는 도메인을 피싱에 빌려주는 취약점입니다. 진짜 방어법: 외부 URL을 리디렉션 대상으로 절대 받지 않고, 상대 경로와 허용 목록만 허용하는 것.
경로 탐색(Path Traversal)이란 — ../ 로 서버가 절대 내주면 안 되는 파일을 읽는 취약점
경로 탐색은 파일명 입력에 ../ 를 섞어 기준 디렉터리를 빠져나가 .env, 설정, 키를 읽거나 쓰는 취약점입니다. 진짜 방어법: 사용자 입력을 날것의 파일 경로로 절대 쓰지 말고, 정규화한 뒤 허용된 기준 디렉터리 안으로 가두는 것.
CSRF(사이트 간 요청 위조)란 — 로그인된 사용자가 의도치 않게 행동하게 만들기
CSRF는 브라우저가 쿠키를 자동으로 붙이는 습성을 악용해, 로그인된 사용자의 브라우저가 의도치 않은 행동을 보내게 만듭니다. 진짜 방어는 CSRF 토큰과 SameSite 쿠키입니다. 상태 변경에 GET을 절대 쓰지 마세요.
SQL 인젝션(SQLi)이란 — 입력이 데이터베이스의 명령을 바꿔 쓰는 취약점
SQLi는 입력이 데이터가 아니라 '명령의 일부'로 읽혀 쿼리의 의미를 바꾸는 취약점입니다 — 곧장 읽기/변경/삭제로 이어집니다. 진짜 방어법은 SQL을 문자열로 이어 붙이기를 멈추고, 값을 플레이스홀더(프리페어드 스테이트먼트)로 넘기는 것입니다.
XSS(Cross-Site Scripting)란 — 다른 사람의 브라우저에서 실행되는 코드
XSS는 공격자가 제공한 문자열을 다른 사용자의 브라우저에서 '스크립트로' 실행시킵니다 — 곧장 세션 탈취와 가장으로 이어집니다. 진짜 방어법은 출력 시 이스케이프입니다. 프레임워크의 자동 이스케이프를 끄지 마세요.
CVE란 — 취약점에 붙는 공용 '등번호'
CVE는 취약점에 부여되는 전 세계 공용 식별자입니다(예: CVE-2025-12345). CVE = 이름, CVSS = 심각도, KEV = 실제로 악용되는가. 모니터링의 기준점입니다. 손이 아니라 기계로 추적하세요.
RCE(원격 코드 실행)란 — 왜 최악의 취약점 부류인가
RCE는 공격자가 당신의 서버에서 임의의 코드를 실행하게 합니다 — 곧장 장악으로 이어지는 최악의 부류입니다. 피해 범위는 실행 중인 프로세스의 권한으로 결정됩니다. 핵심 방어는 빠른 패치, CVE 모니터링, 최소 권한입니다.
CVSS란 — 심각도 점수와 그 실제 채점 방식
CVSS는 심각도를 0.0–10.0으로 평가합니다. 점수는 정의된 지표(공격 벡터, 복잡도, 권한, 사용자 상호작용, 범위, CIA 영향)를 공개 공식으로 계산한 값이며 — 추측이 아닙니다. 기준을 알면 10.0이 무엇을 뜻하는지 읽을 수 있습니다. 그래도 우선순위는 KEV(악용 여부)와 사용 여부로 정하세요.
SSRF(Server-Side Request Forgery)란
SSRF는 외부 입력 URL을 악용해 서버가 내부 자원(내부 IP, 클라우드 메타데이터)을 치게 만듭니다. URL을 가져오는 기능이 있다면, 목적지 허용 목록, 내부 대상 차단, 그리고 리디렉션/DNS 리바인딩 구멍을 닫는 것이 필요합니다. Capital One 침해의 진입점이었습니다.
Equifax 유출 사고(2017) — 패치되지 않은 Apache Struts 결함이 1억 4,700만 명을 유출시킨 경위
원인은 이미 패치까지 나와 있던 알려진 CVE(CVSS 10.0)를 공개 시스템에 적용하지 않은 것이었습니다. 만료된 모니터링 인증서가 76일간 유출을 가렸습니다. 여러분의 환경에서는 자산 인벤토리, 패치 SLA, 머신 모니터링, 그리고 건강한 탐지가 핵심입니다.
Heartbleed(CVE-2014-0160) — 암호화 통신의 토대에서 메모리가 새어 나왔을 때
OpenSSL의 메모리 과다 읽기는 개인 키와 세션까지 유출시킬 수 있었습니다. 원인은 서버가 주장된 길이를 신뢰하고 인접 메모리를 읽은 것입니다. 교훈은 전부 새어 나갔다고 보고 행동하는 것 — 인증서를 재발급하고 모든 비밀 정보를 로테이션 — 그리고 토대 소프트웨어와 메모리 안전성의 무게입니다.
Log4Shell(CVE-2021-44228) — 자신이 그 버그를 가졌는지조차 확인할 수 없어 전 세계가 두려워한 밤
Log4j의 CVSS 10.0 버그. 진짜 공포는 전이 의존성 — 자신도 모르게 쓰던 라이브러리를 통해 영향을 받는 것이었습니다. 수동적인 로깅 경로가 공격 벡터가 되었습니다. SBOM, 머신 모니터링, 빠른 패치, 그리고 후속 CVE 추적이 교훈입니다.
XZ Utils 백도어(CVE-2024-3094) — 신뢰 그 자체가 표적이 되었을 때
신뢰받던 메인테이너가 xz에 백도어를 심은 공급망 공격. 한 엔지니어의 '이거 느린데?'가 안정 배포 직전에 잡아냈습니다. 표적은 코드가 아니라 사람과 신뢰였습니다. 의존성을 최소화하고, 버전을 핀 고정하고, 재현 가능하게 빌드하고, 이상을 끝까지 쫓고, 메인테이너를 지원하십시오.