사진=고려대 ◇HTTP/2 시대의 허점…웹방화벽과 서버 ‘해석 차이’ 노렸다 고려대 허준범 컴퓨터학과 교수가 이끄는 정보보안시스템연구실(ISS Lab)이 HTTP/2 환경에서 웹방화벽과 웹서버가 동일한 요청을 서로 다르게 해석하는 구조적 문제를 규명하고, 이를 악용할 수 있는 새로운 공격 기법인 ‘스트림 파서 혼동 공격(SPCA·Stream Parser Confusion Attack)’을 개발했다고 9일 밝혔다.
사진=고려대 ◇AWS도 공식 인정…국제 표준 취약점 등록·‘심각’ 등급 판정 연구팀은 “AWS가 해당 취약점을 공식 등록하고 ‘CWE-444(HTTP 요청 파싱 불일치)’ 유형으로 분류한 것은 웹방화벽과 서버 간 데이터 해석 차이가 실제 인터넷 환경에서 심각한 보안 위협이 될 수 있음을 인정한 것”이라고 설명했다.
클라우드와 엣지 컴퓨팅 환경의 보안, 네트워크 보안, 프로세서 보안 취약점 등을 연구하고 있으며, 인텔(Intel) CPU의 ‘데이터 프리패치(Data Prefetch)’ 구조적 취약점을 세계 최초로 발견해 컴퓨터 보안 분야 최고 권위 학술대회인 ACM CCS에서 발표한 바 있다.
뉴스픽의 주요 문장 추출 기술을 사용하여 “이데일리” 기사 내용을 3줄로 요약한 결과입니다. 일부 누락된 내용이 있어 전반적인 이해를 위해서는 본문 전체 읽기를 권장합니다.