정보 누출 보안 패치

 1. 개요

 

정보 누출 이란?

정보 누출 취약점(Information Disclosure)이란 시스템이나 애플리케이션이 원래 사용자에게 노출되지 않아야 할 정보(시스템 정보, 에러 메시지 등)가 노출되는 보안 취약점을 말합니다. 공격자는 이런 정보를 활용해 시스템 구조를 파악하거나, 2차 공격(SQL Injection 등)을 준비할 수 있습니다.

 

보안 패치의 목적 및 중요성

정보 누출 취약점이 존재하면 노출되지 않아야 할 정보(시스템 정보, 에러 메시지 등)가 외부로 노출되어 공격자가 시스템을 분석하고, 추가적인 공격을 시도할 수 있습니다. 따라서 정보 누출 취약점에 대한 보안 패치는 다음과 같은 목적을 가집니다.

 

1. 공격자가 시스템 구조(파일 경로, 데이터베이스 구조 등)를 파악하는 것을 차단합니다.

2. 에러 메시지를 통해 소스코드, SQL 쿼리, 데이터 베이스 구조 등의 정보가 노출되는 것을 차단합니다.

3. 시스템 운영에 불필요한 파일(로그 파일, 백업 파일 등)에 대한 접근을 제한합니다.

4. 에러 출력 설정, HTTP 응답 헤더 등 서버 설정을 점검하고 최소한의 정보만 노출되도록 구성합니다.

 

 2. 취약점 분석

 

정보 누출 발생 원인

아파치 웹 서버의 기본 설정에 ServerTokens와 ServerSignature 옵션이 설정되어 있지 않아 HTTP 응답 헤더 또는 에러 페이지에 아파치 버전 정보, 운영체제 정보 등이 노출되고 있습니다.

 

정보 누출 예시

잘못된 서버 설정으로 인해 HTTP 응답 헤더에 아파치 버전 정보, 운영체제 정보가 포함됩니다. 이 정보를 토대로 구글 등의 검색엔진을 이용해 해당 버전에서 알려진 취약점을 찾고, 2차 공격을 시도할 수 있습니다.

 

1. 웹 페이지에 접속합니다.

 

2. HTTP 응답 헤더에 아파치 버전 정보, 운영체제 정보가 포함되어 있습니다.

 

3. 확인한 아파치 버전 정보를 이용해 취약점을 검색합니다.

 

 3. 보안 패치 적용

 

보안 조치 방법

아파치의 설정 파일에서 ServerTokens을 Prod로, ServerSignature를 Off로 설정하여 서버의 응답과 에러 페이지에서 아파치 버전 정보가 포함되지 않도록 할 수 있습니다.

ServerTokens Prod: Apache 응답 헤더에 포함되는 정보를 최소화합니다.
ServerSignature Off: 에러 페이지나 디렉터리 인덱스 하단에 표시되는 서버 정보를 제거합니다.

 

수정 코드

1. 아파치 설정 파일(apache2.conf)에 접근합니다.

 

2. 서버 설정을 추가합니다.

 

3. 추가한 설정을 적용하기 위해 아파치 서비스를 재시작합니다.

 

 4. 보안 패치 결과

 

보안 패치 후 테스트 결과

서버 설정 파일(apache2.conf)에 ServerTokens Prod 및 ServerSignature Off 옵션을 추가한 후, HTTP 응답 헤더를 확인한 결과 아파치 버전 정보 및 운영체제 정보가 포함되지 않는 것을 확인했습니다.