보안이슈#3. WebDAV 취약점

최근 보안 뉴스에 따르면, 마이크로소프트(MS)가 이미 2023년에 폐지한 WebDAV 기능을 악용한 사이버 공격이 다시 기승을 부리고 있다.

특히 윈도우 탐색기의 특성을 이용해 보안 경고를 무력화한다는 점에서 매우 위협적이다.

https://www.boannews.com/media/view.asp?idx=142436

윈도우 탐색기가 악성 서버 연결 통로로... WebDAV 취약점 주의보

1. WebDAV란?

WebDAV(Web Distributed Authoring and Versioning)는 HTTP 프로토콜의 확장으로, 사용자가 웹 서버에 저장된 문서와 파일을 편집하고 관리할 수 있게 해주는 규격이다.

쉽게 말해 웹 서버를 로컬 하드 드라이브나 네트워크 공유 폴더처럼 사용할 수 있게 해주는 기술이다.

• 주요 특징: HTTP 기반이므로 방화벽 통과가 쉽고, 별도의 복잡한 설정 없이 웹을 통해 파일 협업이 가능하다.
• 윈도우에서의 동작: 윈도우는 'WebClient' 서비스를 통해 WebDAV를 지원하며, 사용자는 탐색기 주소창에 특정 주소를 입력해 원격 서버를 로컬 드라이브처럼 연결할 수 있다.

 

2. WebDAV 취약점의 공격 메커니즘

이번에 이슈가 된 공격의 핵심은 "원격 서버를 로컬 네트워크인 것처럼 속이는 것"에 있다.

공격자는 file:// URI 스킴이나 악성 .url, .lnk 파일을 사용하여 사용자의 PC가 공격자의 WebDAV 서버에 접속하게 유도한다.

 

 

 

왜 위험한가?

1. MoTW(Mark-of-the-Web) 무력화: 웹에서 다운로드한 파일에는 원래 '차단' 속성이 붙어 경고창이 뜨지만, WebDAV를 통해 연결된 파일은 윈도우가 이를 네트워크 공유 폴더의 파일로 오인하여 보안 경고를 띄우지 않는 경우가 발생한다.
2. 자동 연결 기능: 사용자가 파일을 직접 클릭하지 않고, 악성 파일이 포함된 폴더를 열기만 해도 윈도우 탐색기는 아이콘 표시 등을 위해 자동으로 서버에 연결(DNS 조회 등)을 시도한다.
3. 정상 트래픽 위장: 클라우드플레어(Cloudflare) 터널링 같은 정상 서비스를 이용해 공격 서버를 구축하므로, 네트워크 보안 장비가 이를 악성 통신으로 식별하기 어렵다.

 

3. 시사점

• 레거시(Legacy) 프로토콜의 위험성: MS가 기능을 공식 폐지했음에도 불구하고, 운영체제 내부에 남아있는 하위 호환성 코드는 언제든 공격자의 통로가 될 수 있다. "안 쓰는 기능은 반드시 비활성화해야 한다"는 보안의 기본 원칙을 상기함.
• 신뢰 경계(Trust Boundary)의 붕괴: 공격자는 로컬-네트워크-인터넷으로 나뉘는 윈도우의 신뢰 영역 구분을 파고들었다. 시스템이 무엇을 '안전하다'고 판단하는지 그 기준(Zone Identifier 등)을 알고 있어야 한다.
• 공격의 창의성(Living off the Land): 새로운 취약점(Zero-day)을 찾아 공격하는 사례보다 기존의 정상적인 기능(탐색기, WebDAV)을 악의적으로 조합하는 기법이 실무에서는 훨씬 빈번하게 일어난다.

 

4. 참고 자료

1. RFC 4918 (WebDAV 표준): WebDAV 프로토콜의 상세 규격을 확인할 수 있는 공식 문서
2. Microsoft 보안 권고문 (MS14-040): WebClient 서비스 비활성화 방법 및 네트워크 드라이브 보안 관련 MS의 권고 사항을 찾아볼 수 있다.
3. MITRE ATT&CK (T1105 - Ingress Tool Transfer): 원격 서버에서 파일을 가져오는 공격 기법에 대한 분류와 방어 전략이 정리되어 있다.

RFC 4918: HTTP Extensions for Web Distributed Authoring and Versioning (WebDAV)