지금 저지르고 있는 5가지 파일 업로드 취약점 실수

많은 산업과 기업에서 사용자 생성 파일 업로드를 허용하고 심지어 장려합니다. 건강 보험, 주택 담보 대출, 또는 보험 정책을 위해 파일 업로드는 필수적입니다. 그러나 파일 업로드는 본질적인 위험을 포함하고 있으므로 주의 깊게 처리해야 합니다. 

지금 저지르고 있는 파일 업로드 취약점 실수, 파일 업로드로 인한 공격을 예방하는 모범 사례, 그리고 비용이 많이 드는 데이터 유출을 방지하기 위해 안전한 파일 업로드 시스템을 개발하는 것이 중요한 이유를 알아보세요.

흔히 하는 파일 업로드 취약점 실수

해커들은 기업의 사이버 방어망을 위반하는 것이 항상 쉽지만은 않다는 것을 깨달았습니다. 이를 우회하기 위해 해커들은 대상에 악성 코드를 주입하는 더 쉬운 방법을 찾아냈습니다. 바로 파일 업로드 취약점을 탐지하고 업로드에 악성 콘텐츠를 삽입하는 것입니다. 그 결과 고객, 공급업체 또는 기타 제3자가 시스템에 파일을 업로드할 때마다 전체 네트워크가 익스플로잇될 위험에 처하게 되었습니다. 해커들은 파일 업로드 취약점이 있는 조직을 쉽게 식별할 수 있습니다. 어떻게 가능할까요? 다음은 흔히 발생하는 실수 목록입니다.

실수 1: 인증 및 권한 부여가 부족합니다.

중요한 것은 권한입니다. 해커는 파일을 업로드하기 전에 인증이나 권한 부여 확인이 없는 파일 업로드 취약점을 쉽게 발견할 수 있으며, 이는 악성 행위자가 원하는 파일을 업로드할 수 있는 문을 열어주는 것과 같습니다. 이러한 시나리오를 방지하려면 사용자가 로그인을 통해 인증되었는지 확인해야 합니다. 되도록 로그인 세부 정보를 다른 보안 조치(예: CAPTCHA)와 결합하는 2단계 인증과 같은 사용자 인증 프로토콜을 사용하세요. 이를 통해 애초에 사용자가 파일을 시스템에 업로드할 수 있는 올바른 권한을 가졌는지 확인할 수 있습니다. 

그러나 조직이 사용자를 인증하지 않고 파일을 수락해야 하는 경우가 많습니다. 예를 들어, 정부 기관은 종종 인증되지 않은 일반 대중이 업로드한 파일을 받습니다. 또 다른 예로는 장애를 최소화해야 하는 수익 창출 프로세스 또는 중요 프로세스의 일부로 파일 업로드를 수락하는 경우가 있을 수 있습니다. 인증 여부와 상관없이, 이러한 경우는 위협 행위자가 신뢰받는 사용자의 신분을 가장하여 계정을 탈취하고 악성 콘텐츠를 업로드하는 것을 예방하지 못합니다. 

실수 2: 파일 이름이 실제 파일 형식과 일치합니다. 

해커들은 원하는 결과를 얻기 위해 파일 메타데이터를 변경할 수 있습니다. 변경된 파일 이름이나 경로를 보고 속은 애플리케이션은 문서의 보안 설정을 변경하거나, 중요한 파일을 덮어쓰거나, 네트워크에서 멀웨어를 실행할 수 있습니다. 파일을 업로드하기 전에 파일의 메타데이터를 검증하고 무해화해야 합니다. 

실수 3: 파일의 내용을 확인하지 않으셨습니다

파일의 이름을 확인하는 것만으로는 충분하지 않습니다. 파일의 내용도 조사해야 합니다. 업로드된 파일 콘텐츠에는 조직에 심각한 피해를 줄 수 있는 다양한 악성 스크립트가 포함될 수 있습니다. 업로드된 모든 파일이 멀웨어 방지 도구로 스캔되도록 하세요.  모든 도구가 동일하게 만들어지지는 않는다는 점에 유의하세요. 바이러스 백신 스캐너는 위협 탐지 엔진이 아직 분류하지 않은 새로운 위협이나 제로 데이 위협을 놓칠 수 있습니다. 일부 멀웨어 방지 도구는 PDF, 이미지 파일 등 특정 파일 유형을 검사할 수 없습니다. 어떤 멀웨어 방지 도구는 업로드된 파일에 숨겨져 있을 수 있는 내장 객체를 스캔하지 못하기도 합니다. 요구 사항에 가장 적합한 멀웨어 방지 도구를 선택하세요. 

실수 4: 공개적으로 액세스할 수 있는 장소에 파일을 저장하는 경우

많은 조직이 미디어 디렉터리 같은 웹사이트의 하위 섹션에 파일을 저장하는 실수를 흔히 저지릅니다. 이 경우 공격자들이 아주 쉽게 이 파일들을 찾아서 표적으로 삼을 수 있습니다. 업로드된 파일을 웹사이트의 루트 외부에 있는 외부 디렉터리에 저장해야 해커가 웹사이트 URL을 통해 파일에 접근하는 것을 예방할 수 있습니다.

실수 5: 특정 파일 유형을 제한하지 않습니다.

명령을 실행하고 악성 코드를 실행할 수 있는 특정 파일 유형은 조직의 네트워크에 업로드해서는 안 됩니다. 예를 들어, .php, .exe, .bat 파일은 차단 목록에 포함시켜 업로드가 거부되도록 해야 합니다. 더 나은 방법은 특정 파일 유형만 업로드할 수 있도록 허용 목록 시스템을 사용하는 것입니다. 블랙리스트는 확장자를 누락해 악용될 위험이 있기 때문입니다. 

Menlo File Security로 파일 업로드 보호

이 다섯 가지 파일 업로드 취약점이 해결되더라도, 안타깝게도 해커는 조직의 파일 보안을 우회하여 악성 코드를 침투시키는 방법을 찾는 데 항상 유리한 위치에 있습니다. 파일 업로드에 제로 트러스트 접근 방식을 취하는 것이 유일한 해결책입니다.

Menlo의 API 우선 CDR 기술은 각 파일의 안전한 요소를 선별하여, 파일에서 확인된 양질의 콘텐츠만 조직에 허용합니다. Menlo는 파일 유형을 분석하고 정확한지 확인한 후 모든 비즈니스 파일 유형을 완전히 무해화합니다. 여기에는 PPT, 문서, PDF, 이미지 파일은 물론, 암호로 보호되고 압축되어 바이러스 백신 스캐너나 다른 멀웨어 방지 도구로는 제대로 스캔 및 탐지할 수 없는 파일 같은 더 복잡한 형식까지 포함됩니다. 

이 모든 작업을 백그라운드에서 자동으로 거의 즉각적으로 수행함으로써 Menlo는 실수 횟수를 5건에서 0건으로 줄여줍니다.