HTTP(HyperText Transfer Protocol)는 웹브라우저와 서버가 데이터를 주고받는 인터넷의 기본 통신 규약이다. 현재 널리 쓰이는 HTTP/2는 기존 HTTP/1.1보다 여러 데이터를 동시에 처리하는 ‘멀티플렉싱’ 기능 등을 도입해 웹페이지와 모바일 앱의 속도를 크게 높인 차세대 표준이다.
현재 전 세계 인터넷 트래픽의 절반 이상이 HTTP/2를 기반으로 처리된다.
|
◇HTTP/2 시대의 허점…웹방화벽과 서버 ‘해석 차이’ 노렸다
고려대 허준범 컴퓨터학과 교수가 이끄는 정보보안시스템연구실(ISS Lab)이 HTTP/2 환경에서 웹방화벽과 웹서버가 동일한 요청을 서로 다르게 해석하는 구조적 문제를 규명하고, 이를 악용할 수 있는 새로운 공격 기법인 ‘스트림 파서 혼동 공격(SPCA·Stream Parser Confusion Attack)’을 개발했다고 9일 밝혔다.
웹방화벽은 SQL 인젝션이나 크로스사이트스크립팅(XSS) 같은 웹 공격을 차단하는 대표적인 보안 장비다. 하지만 상당수 제품은 이전 규약인 HTTP/1.1 환경을 중심으로 설계돼 HTTP/2의 새로운 데이터 처리 방식까지 충분히 반영하지 못한 것으로 연구팀은 분석했다.
SPCA는 해킹 데이터 자체를 변조하지 않는다. 대신 HTTP/2 표준(RFC 9113)이 허용하는 범위 안에서 데이터의 전송 순서와 구조만 바꾼다. 이 때문에 웹방화벽은 정상 요청으로 인식해 통과시키지만, 이후 데이터를 재조합한 웹서버는 악성 명령을 정상 데이터로 받아들여 실행할 수 있다. 연구팀은 실제 공격이 확산되기 전에 이러한 공격 방식을 먼저 규명해 위험성을 공개하고 대응 방안을 제시했다는 점에서 의미가 크다고 설명했다.
연구팀은 발견한 취약점을 주요 웹방화벽 업체에 제보했고, AWS는 이를 반영해 지난 6월 29일 CloudFront(CVE~2026~13762)와 Application Load Balancer(CVE~2026~13763) 등 두 건을 국제 표준 보안 취약점 관리 시스템(CVE)에 등록했다.
두 취약점은 공격자가 해킹 데이터를 여러 개의 HTTP/2 프레임으로 나눠 전송하면 웹방화벽이 일부 데이터만 검사하는 문제를 악용한다. 인증 없이 원격 공격이 가능하다는 점에서 국제 보안 취약점 평가 기준인 CVSS(Common Vulnerability Scoring System) 9.8점을 받아 ‘심각(Critical)’ 등급으로 분류됐다. CVSS는 미국 비영리 보안기구인 FIRST가 관리하는 국제 표준 취약점 위험도 평가 체계로, 9.0점 이상이면 최고 수준인 ‘심각’ 등급에 해당한다.
|
◇AWS도 공식 인정…국제 표준 취약점 등록·‘심각’ 등급 판정
연구팀은 “AWS가 해당 취약점을 공식 등록하고 ‘CWE-444(HTTP 요청 파싱 불일치)’ 유형으로 분류한 것은 웹방화벽과 서버 간 데이터 해석 차이가 실제 인터넷 환경에서 심각한 보안 위협이 될 수 있음을 인정한 것”이라고 설명했다.
이번 연구 결과는 웹 분야 최고 권위 국제학술대회인 The ACM Web Conference 2026에서 지난 2일 발표됐다.
연구를 이끈 허준범 교수는 네트워크·클라우드·시스템 보안 분야의 전문가다. 클라우드와 엣지 컴퓨팅 환경의 보안, 네트워크 보안, 프로세서 보안 취약점 등을 연구하고 있으며, 인텔(Intel) CPU의 ‘데이터 프리패치(Data Prefetch)’ 구조적 취약점을 세계 최초로 발견해 컴퓨터 보안 분야 최고 권위 학술대회인 ACM CCS에서 발표한 바 있다.
이러한 연구 성과를 인정받아 한국공학한림원이 선정한 ‘대한민국을 이끌 100대 기술과 차세대 주역’에도 이름을 올렸다.
한편 이번 연구는 한국연구재단과 정보통신기획평가원(IITP)의 지원을 받아 이뤄졌다.
Copyright ⓒ 이데일리 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.

