ZIP 압축 폭탄, 보안 취약점 파고든다!
by DD
5개월 전
조회수 6
ZIP 파일의 구조적 취약점을 이용한 압축 폭탄 공격의 위험성이 재조명됨
Debian의 `unzip` 유틸리티에서 겹치는 파일로 인한 오류 발생 및 대응 방안 제시
Brotli 압축을 활용한 새로운 압축 폭탄 시도, HTTP Range 지원의 중요성 강조
ZIP 파일 구조와 압축 폭탄 원리
ZIP 파일은 파일 목록(디렉토리) 정보를 파일 끝에 저장하는 구조적 특징을 가진다. 구체적으로, 이로 인해 부분 다운로드 시 파일 내용을 확인할 수 없는 문제가 발생하며, 악의적인 압축 파일은 압축 해제 과정에서 시스템 자원을 고갈시킨다. 따라서, 압축 해제 알고리즘의 안전성이 매우 중요하다.
Debian unzip 유틸리티의 취약점 분석
Debian의 `unzip` 유틸리티는 겹치는 파일에 대한 오류 처리 기능을 강화하여 CVE-2019-13232 취약점에 대응했다. 반면, 겹치는 파일로 인해 21MB 크기의 파일이 생성되는 문제가 발생하며, 이는 압축 해제 과정에서 예기치 않은 자원 소모를 유발할 수 있다. 결과적으로, 입력값 검증의 중요성을 보여준다.
압축 폭탄 방어 전략 및 HTTP Range 활용
압축 폭탄 공격을 방어하기 위해 입력 파일 검증, 압축 해제 제한 시간 설정, 자원 사용량 모니터링 등의 조치가 필요하다. 구체적으로, HTTP Range를 지원하는 다운로더를 사용하면 파일의 일부분만 미리 볼 수 있어 위험을 줄일 수 있다. 따라서, 보안 패치 및 최신 유틸리티 사용이 권장된다.
