고려대, 인터넷 '보안 사각지대' 찾았다…국제 표준 시스템 등록

기사등록 2026/07/09 11:28:00

구글에서 선호하는 매체로 추가

인증 없이 원격 공격 가능한 '파싱 불일치' 위협 입증

해커 악용 전 선제적 방어…AWS에 제보 후 취약점 등록

[서울=뉴시스] (왼쪽부터) 고려대 컴퓨터학과 허준범 교수, 정보보안시스템연구실(ISS Lab) 최경록·이웅희 연구원(공동 제1 저자). (사진=고려대 제공) 2026.07.09. photo@newsis.com *재판매 및 DB 금지
[서울=뉴시스] (왼쪽부터) 고려대 컴퓨터학과 허준범 교수, 정보보안시스템연구실(ISS Lab) 최경록·이웅희 연구원(공동 제1 저자). (사진=고려대 제공) 2026.07.09. [email protected] *재판매 및 DB 금지
[서울=뉴시스]박시은 인턴 기자 = 고려대학교는 컴퓨터학과 허준범 교수가 이끄는 정보보안시스템연구실(ISS Lab)이 인터넷의 '보안 사각지대'를 찾았다고 9일 밝혔다.

대다수 모바일 앱과 최신 웹사이트들은 데이터를 빠르게 주고받기 위해 차세대 웹 통신 규약인 'HTTP/2'를 기반에 두고 있다.

인터넷 트래픽의 절반 이상이 이 규칙을 사용하고 있지만, 문제는 해커의 공격을 최전선에서 방어하는 웹 방화벽의 상당수가 여전히 과거(HTTP/1.1)의 보안 수준에 머물러 있다는 점이다.

연구팀은 HTTP/2의 구조적 허점을 파고들어 웹 방화벽과 웹 서버가 같은 요청을 서로 다르게 해석하는 취약점을 찾아내고, 이를 이용해 '스트림 파서 혼동 공격(SPCA)'을 개발했다. 해커들이 악용하기 전에 SPCA라는 신종 해킹 수법을 먼저 개발해, 인터넷 생태계에 위험성을 알리고 선제적으로 보호한 것이다.

SPCA는 공격 문자열(해킹 데이터) 자체는 손대지 않고, HTTP/2 표준(RFC 9113)이 허용하는 범위 안에서 데이터가 전송되는 순서와 구조만 바꾼다. 그 결과, 웹 방화벽은 이를 정상으로 판단해 통과시키지만 이후 데이터를 재조합하는 서버는 그 안의 악성 명령을 그대로 실행하게 된다.

연구팀은 이러한 보안 취약성을 전 세계 웹 방화벽 업체들에 제보했다. 이에 글로벌 IT(정보기술) 기업 아마존웹서비스(AWS)는 연구팀의 제보를 바탕으로 지난달 29일 CVE(국제 표준 보안 취약점 관리 시스템)에 두 취약점을 공식 등록했다.

CVE에 등록된 두 취약점은 공격자가 해킹 데이터를 여러 개의 HTTP/2 프레임으로 쪼개 보내면 방화벽이 일부만 검사하게 되는 문제로, 인증 없이 원격 공격이 가능하다는 점에서 '심각(CVSS 9.8)' 등급을 받았다.

연구팀은 "AWS가 해당 취약점을 공식 등록하고 해킹 유형(CWE-444’)으로 분류한 것은 연구팀이 규명한 '파싱(데이터 해석) 불일치' 문제가 실제로 심각한 위협이라는 점을 보여준다"고 밝혔다.

한편 한국연구재단과 정보통신기획평가원의 지원을 받아 수행된 이번 연구 논문은 웹 분야 국제 학술대회인 'The ACM 웹 콘퍼런스(WWW) 2026'에서 지난 2일 발표됐다.


◎공감언론 뉴시스 [email protected]
button by close ad
button by close ad

고려대, 인터넷 '보안 사각지대' 찾았다…국제 표준 시스템 등록

기사등록 2026/07/09 11:28:00 최초수정

이시간 뉴스

많이 본 기사