HTTP와 HTTPS 혼용시 취약점 발견...웹방화벽 필터링 우회 가능

HTTP 프로토콜 사용 웹에서 특정 기능 페이지만 HTTPS 프로토콜 사용
모든 웹 서비스 HTTP 프로토콜로 제공할 경우 웹방화벽 필터링 우회할 수 있어

[보안뉴스 김경애] 웹서버 구축에 있어 HTTP와 HTTPS를 혼용해 사용할 경우 웹방화벽 필터링을 우회할 수 있는 취약점이 발견됐다.

▲한 공공기관의 HTTP통신에서 XSS코드 차단과 HTTPS 통신에서 코드실행하는 화면

여러 공공기관과 기업에서는 웹서비스 운영시 웹방화벽을 사용해 각종 해킹에 이용되는 악성코드, 문자열 등을 필터링하도록 구축한다. 일반적인 웹 통신은 HTTP로 데이터 암호화 전송은 SSL 통신으로 민감 데이터 보안을 위해 운영되고 있다.

이러한 가운데 상당수 공공기관에서 웹방화벽 정책을 잘못 설정해 웹방화벽 필터링을 우회할 수 있는 취약점이 발견됐다.

▲Burp Suite를 이용해 강제적으로 포트 유도한 화면

문제가 될 수 있는 부분은 △HTTP프로토콜을 사용하는 웹에서 특정 기능의 페이지만 HTTPS프로토콜 사용 △모든 웹 서비스를 HTTP프로토콜로 제공 △SSL통신 외에 API 소스나 검색엔진을 다른 포트로 도입한 경우다.

이를 본지에 알려온 한 제보자는 “HTTP프로토콜을 사용하는 웹에서 특정 기능의 페이지만 HTTPS 프로토콜을 사용하는 경우 HTTP 통신에서는 XSS 코드를 차단하나 HTTPS 통신에서는 코드를 실행하고, 두 번째로 모든 웹 서비스를 HTTP 프로토콜로 제공하는 한 교육기관의 경우 문자열 검색 페이지 패킷을 잡아 강제적으로 80번 포트와 HTTP 프로토콜로 전송하도록 유도한다”고 밝혔다.

▲검색엔진 사용포트로 다른 포트 사용한 화면

세 번째로 SSL통신 외에 API 소스나 검색엔진을 다른 포트로 도입한 경우에는 다른 포트보호가 되지 않는다. 이는 웹방화벽 정책 적용으로 다른 포트는 보호되지 않기 때문이다.

이외에도 한 공공기관에서는 통합 로그인 방식을 사용하고 있으며 로그인 페이지 외에는 HTTP 프로토콜만 이용해 통신하고 있는 것으로 조사됐다. 하지만 URL에 HTTPS를 추가하는 것만으로도 두 가지 방식으로 포트 연결이 가능하다는 것.

이에 대해 제보자는 “HTTP 통신에서는 방화벽을 차단하나 HTTPS 통신에서는 XSS 코드를 실행하고, 루트(ROOT) 권한 쉘코드도 획득할 수 있다”며 “불충분한 인증, 리다이렉트 변조, 파일업로드, 버퍼오버플로우 취약점과 해당 취약점을 연계해 유닉스 시스템의 루트 권한으로 쉘코드를 획득해 시스템 장악에 성공할 수 있다”고 밝혔다.

이어 그는 “많은 공공기관 및 교육기관 등에서 방화벽을 도입했음에도 불구하고 해당 방화벽을 운영하는 인력 부족 등 여러 가지 문제로 해당 취약점에 노출되어 있다”며 “소스코드 레벨에서 대비가 필요하나 조치가 잘 안 된다”고 지적했다.
[김경애 기자(boan3@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)