패스 트래버설(Path Traversal) 공격이란 무엇인가? 문제 예시로 알아보기

안녕하세요, 여러분! 오늘은 정보보안 세계에서 자주 접할 수 있는 중요한 주제 중 하나인 '패스 트래버설(Path Traversal)'에 대해 자세히 알아보려고 해요. 이해하기 쉬운 예시를 통해 문제를 살펴보고, 이러한 공격으로부터 보호하는 방법도 함께 공유할게요.

패스 트래버설(Path Traversal)이란?

패스 트래버설 공격, 또는 디렉토리 트래버설 공격이라고도 불리는 이 기법은 공격자가 웹 애플리케이션의 보안을 우회하여 파일 시스템에 접근, 웹 서버에 저장된 파일을 읽거나 수정할 수 있게 만드는 보안 취약점을 말해요. 일반적으로 이러한 공격은 웹 애플리케이션이 사용자 입력을 충분히 검증하지 않을 때 발생하죠.

문제 예시

가장 흔한 패스 트래버설 공격의 예를 들어볼게요. 예를 들어, 웹사이트에 사용자가 파일 이름을 입력하여 그 파일의 내용을 볼 수 있는 기능이 있다고 가정해봅시다. 사용자는 보통 'document.txt'와 같은 파일 이름을 입력하지만, 공격자는 '../'를 사용하여 상위 디렉토리로 이동할 수 있어요. 만약 공격자가 'document.txt' 대신 '../../../../etc/passwd'와 같이 입력한다면, 웹 서버의 중요한 시스템 파일에 접근할 수 있게 되죠.

보호 방법

이러한 공격으로부터 보호하기 위해선 몇 가지 중요한 방법이 있어요:

1. 사용자 입력 검증: 파일 이름이나 경로를 사용자로부터 받을 때는 반드시 검증해야 해요. 특히 '../'와 같은 상대 경로 사용을 엄격하게 제한하거나 필터링해야 합니다.
2. 접근 제한: 웹 애플리케이션에서 접근할 수 있는 파일을 엄격히 제한하고, 특정 폴더 안의 파일만 접근할 수 있도록 설정하는 것이 좋아요.
3. 보안 패치: 소프트웨어와 라이브러리를 최신 상태로 유지하며 보안 패치를 적용하는 것은 필수입니다.

패스 트래버설은 간단해 보이지만 매우 위험할 수 있는 공격 방법이에요. 적절한 예방 조치를 통해 시스템을 안전하게 보호해야 합니다.

 

참고 자료

https://portswigger.net/web-security/file-path-traversal

What is path traversal, and how to prevent it? | Web Security Academy

https://youtu.be/3CyrBt0E8AA

---

여러분, 오늘 배운 내용이 도움이 되셨기를 바라요! 정보보안은 늘 주의 깊게 접근해야 할 주제랍니다. 여러분의 소중한 정보를 보호하기 위해 항상 경계하고 배우는 자세가 중요하다고 생각해요. 만약 더 궁금한 점이 있다면 언제든지 댓글로 질문해 주세요!