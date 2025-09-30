XML 서명 래핑(XSW)는 XML 기반 보안 프로토콜, 특히 보안 어설션 마크업 언어(SAML), 단순 객체 액세스 프로토콜(SOAP) 및 웹 서비스 보안(WS-Security 또는 WSS)을 사용하는 애플리케이션에서 XML 서명이 검증되는 방식을 악용하는 사이버 공격의 한 종류입니다.
확장 가능한 마크업 언어(XML)은 사람이 읽을 수 있고 기계가 읽을 수 있는 방식으로 데이터를 구조화하고 저장하는 데 사용되는 텍스트 기반 데이터 형식입니다. 웹 서비스, ID 시스템 및 애플리케이션 간의 데이터 교환에 사용됩니다.
HTML과 마찬가지로 XML도 데이터를 나타내도록 설계된 태그로 구조화되어 있습니다. 중첩된 요소와 속성을 지원하여 복잡한 계층 구조를 허용합니다.
XML은 SOAP, SAML 및 WS-Security 프로토콜에서 자주 사용됩니다.
XML 서명은 W3C XML 서명 사양에 정의된 XML 데이터에 적용되는 디지털 서명입니다. XML 서명 요소는 데이터가 신뢰할 수 있고 검증 가능하며 변조되지 않았음을 주장하여 데이터 무결성을 보장하는 데 도움이 됩니다.
해시 또는 다이제스트는 해당 데이터에 대해 계산됩니다.
해시는 서명을 형성하기 위해 발신자의 개인 키로 암호화됩니다.
XML 서명 래핑 공격은 XML의 구조적 유연성을 악용하여 애플리케이션이 서명 유효성 검사를 통과하는 동안 인증되지 않은 데이터를 처리하도록 속입니다. 공격자는 서명된 요소와 실제로 처리된 요소 사이에 불일치를 만듭니다(일반적으로 요소를 복제하거나 재배치하여). 그 결과 서명이 유효한 것처럼 보일지라도 애플리케이션이 서명되지 않은 콘텐츠를 사용합니다.
XML 서명 래핑(XSW) 공격의 일반적인 작동 방식은 다음과 같습니다.
공격자는 디지털 서명된 유효한 로그인 응답(예: 합법적인 SAML 응답)과 같은 신뢰할 수 있는 실제 XML 메시지로 시작합니다.
서명된 부분(참조된 그 부분)을
위조된 데이터를 원래 위치에 저장했습니다. 이 위조된 데이터는 서명되지 않았지만 합법적으로 보이도록 제작되었습니다.
대부분의 애플리케이션은 서명된 버전인지 확인하지 않고 태그 이름이나 XPath 표현식으로 데이터를 찾기 때문에 위조된 데이터를 사용하게 됩니다.
디지털 서명은 앱이 사용하는 위조된 부분이 아니라 원본의(현재 숨겨진) 서명된 부분을 확인하기 때문에 여전히 체크아웃됩니다.
그래서 애플리케이션은 보안 서명이 된 문서로 작업하고 있다고 생각하지만, 실제로는 승인되지 않고 조작된 데이터에 기반해 동작하게 됩니다.
이 예제에서는 공격자가 취약한 XML 구문 분석 및 유효성 검사 논리를 악용하여 서명된 SAML 어설션을 조작하여 무단 관리자 액세스 권한을 얻는 방법을 보여 줍니다.
SAML은 ID 공급자(IdP)와 서비스 공급자(SP)의 두 시스템 간에 인증 정보를 안전하게 교환하는 데 사용되는 XML 기반 프로토콜입니다. 싱글사인온(SSO)을 지원하여 사용자는 한 번의 인증으로 반복적인 로그인 없이 여러 서비스에 액세스할 수 있습니다.
이것은 Burp Suite의 SAML Raider와 같은 툴로 캡처한 실제 SAML 요청입니다. 여기에는 사용자의 ID 세부 정보가 포함된 SAML 어설션이라고 하는 디지털 서명된 섹션이 포함됩니다. 이 어설션 내부에는
요청에는 유효한 디지털 서명(
앱의 응답에서는 원래 필드에 있던 신원(일반 사용자의 이메일 주소)로
공격자는 디지털 서명된 원본 어설션을 XML 문서의 다른 부분으로 이동하여 서명이 유효한 상태로 유지되고 확인을 통과할 수 있도록 하여 SAML 요청을 비밀리에 수정합니다.
그 자리에 admin@libcurl.so와 같은
이 활동은 XSW 공격의 핵심 개념을 보여줍니다. 디지털 서명은 유효한 것처럼 보이지만 애플리케이션에서 처리하는 데이터는 가짜이며 신뢰할 수 없습니다.
결과적으로 애플리케이션은 공격자가 주입한 가짜 어설션을 기반으로 관리자 액세스 권한을 부여합니다. 처리한 어설션이 실제로 디지털 서명이 되어 있던 그 어설션인지 여부를 검증하지 못합니다. 이 실패로 인해 공격자는 관리자 사용자로 성공적으로 가장할 수 있습니다. 사용자가 admin@libcurl.so로 로그인할 수 있도록 허용하는 시스템은 XML 서명 래핑 공격이 성공했음을 명확하게 보여줍니다.
이 예제에서는 취약한 XML 서명 검사를 속여 가짜 데이터를 신뢰하는 방법을 보여 줍니다. 공격자는 디지털 서명을 해독하지 않습니다. 대신 서명된 데이터는 다른 곳으로 이동되고 앱이 실제 데이터를 기대하는 곳에 가짜 정보가 배치됩니다. 그런 다음 애플리케이션이 가짜 데이터를 안전하다고 생각하여 실수로 처리합니다.
XSW 공격은 일반적으로 몇 가지 주요 하위 집합 또는 유형으로 분류되며, 각 유형은 XML 서명 확인 및 구문 분석이 구현되는 방식을 악용합니다.
가장 일반적인 항목에 대한 분석은 다음과 같습니다.
메서드: 공격자는 서명된 요소를 XML 문서의 다른 부분으로 이동하고 원래 위치에 악성 요소를 삽입합니다.
목표: 서명은 여전히 검증되지만(서명된 데이터는 변경되지 않음), 애플리케이션은 대신 공격자가 삽입한 데이터를 처리합니다.
예시: 서명된 <Assertion>이
방법: 공격자는 XML ID 특성을 사용하여 서명된 데이터를 참조합니다.
목표: 공격자는 동일한 ID로 중복된 요소를 생성하지만 애플리케이션이 먼저 처리하는 위치에 배치합니다.
본보기: 서명은 #ID-1234를 참조하지만 파서는 서명된 ID 대신 해당 ID와 함께 공격자의 가짜 요소를 사용합니다.
방법: 공격자는 XML 네임스페이스를 조작하여 서명 유효성 검사를 혼동합니다.
목표: 서명을 유효하게 유지하면서 요소 해석을 변경하거나 엄격한 스키마 검사를 우회합니다.
예시: <Assertion> 새 네임스페이스에 악성 요소를 삽입하여 유효성 검사는 통과하지만 처리 논리가 이를 수락하도록 합니다.
방법: 서명된 XML 내부에서 <Signature>의 위치를 변경하여
목표: 유효성 검사자가 모든 것이 서명되었다고 생각하도록 하되 공격자가 제어하는 부분은 서명 범위에서 제외합니다.
예시: 원래의 ds:Signature를
방법: 서명 유효성 검사 중에 사용되는 XPath 쿼리를 조작하여 서명된 노드 대신 공격자가 제어하는 노드를 가리킵니다.
목표: 애플리케이션이 악성 데이터를 처리하는 동안 서명 검증 툴을 속여 무해한 데이터를 확인하도록 합니다.
예시: XML을 조작하여 검증기의 XPath(예: //Assertion[@ID='A1'])가
XSW 공격은 특히 민감한 데이터나 중요한 작업이 관련된 경우 심각한 실제 결과를 초래할 수 있습니다. 이러한 가상의 시나리오는 이러한 공격의 잠재적 영향을 강조합니다.
시나리오: 엔터프라이즈 애플리케이션은 SAML 기반 싱글사인온(SSO)을 사용하여 사용자를 인증합니다. 각 로그인 응답에는 사용자를 식별하는 디지털 서명된 SAML 어설션이 포함됩니다.
XSW 공격: 공격자는 합법적인 SAML 응답을 캡처하고, 서명된 어설션을 XML 문서의 다른 부분으로 이동하고, 그 자리에 관리자라고 주장하는 위조된 어설션을 삽입합니다.
영향: 시스템은 원래 어설션의 서명을 검증하지만 서명되지 않은 공격자가 주입한 어설션을 처리하여 위협 행위자에게 권한이 있는 사용자로서 액세스 권한을 부여합니다.
시나리오: 웹 서비스 애플리케이션 프로그래밍 인터페이스는 SOAP 및 WS-Security를 사용하여 요청을 처리합니다. SOAP 메시지 본문은 명령이 신뢰할 수 있는지 확인하기 위해 디지털로 서명됩니다.
XSW 공격: 공격자는 서명된 원래의 SOAP 본문을 무해한 래퍼 요소로 래핑하고 상승된 권한 또는 승인되지 않은 작업을 포함하는 서명되지 않은 새 본문으로 바꿉니다.
영향: 서비스가 서명되지 않은 본문을 처리하는 경우 공격자는 권한을 에스컬레이션하거나 중요한 데이터 보기 또는 수정과 같은 제한된 작업을 수행할 수 있습니다.
시나리오: 관리 인터페이스를 통해 사용자는 디지털 서명으로 보호되는 계정 삭제 또는 암호 재설정과 같은 XML 기반 명령을 제출할 수 있습니다.
XSW 공격: 공격자는 서명된 명령을 보조 위치로 이동하고 서명되지 않은 명령(예: 다른 사용자의 계정 삭제 또는 관리자의 암호 재설정)을 그 자리에 삽입합니다.
영향: 애플리케이션이 서명되지 않은 명령을 처리할 경우, 권한이 없는 사용자를 대신하여 중요한 작업을 수행할 수 있습니다.
시나리오: 은행은 XML 서명을 사용하여 자금 이체 작업을 보호합니다. 각 요청에는 이체 금액, 송금 및 수신자 계좌 번호와 같은 거래 세부 정보가 포함됩니다. 요청은 디지털 방식으로 서명되어 신뢰성을 보장합니다.
XSW 공격: 공격자는 유효한 전송 요청을 캡처하고 서명된 데이터를 문서의 중요하지 않은 섹션으로 재배치한 다음 더 많은 금액과 다른 수신자 계정으로 위조된 트랜잭션을 삽입합니다.
영향: 애플리케이션이 처리된 거래가 서명된 거래인지 엄격하게 확인하지 않으면 공격자의 위조된 거래가 실행되어 무단 이체 및 금전적 손실이 발생할 수 있습니다.
시나리오: 온라인 플랫폼은 XML 디지털 서명을 사용하여 인증 토큰을 보호합니다. 각 토큰에는 사용자 ID 정보 및 액세스 권한이 포함되어 있으며 변조를 방지하기 위해 암호화 서명됩니다.
XSW 공격: 공격자는 유효한 인증 토큰을 탈취하고, 서명된 부분을 XML 내의 다른 위치로 이동한 다음, 상승되거나 승인되지 않은 권한을 포함하는 새로운 서명되지 않은 세그먼트를 삽입합니다.
영향: 서버가 서명된 섹션 대신 조작된 섹션을 처리하는 경우 공격자는 무단으로 액세스하거나 권한이 있는 작업을 수행하여 애플리케이션의 보안을 손상시킬 수 있습니다.
애플리케이션이 XML 서명 래핑 공격에 취약한지 여부를 분석하려면 XML 데이터를 구문 분석하고 처리하는 방법을 이해하는 것이 중요합니다. SAML 인증 또는 SOAP 메시징과 같은 보안에 민감한 컨텍스트에서 XML 구문 분석 및 처리를 이해하는 것이 특히 중요합니다.
다음은 실제 환경에서 이러한 취약점을 식별하기 위한 몇 가지 기술과 테스트 전략입니다.
애플리케이션이 다음과 같은 요소를 추출하는지 확인합니다.
SAML Raider와 함께 Burp Suite를 사용하여 서명되지 않은 가짜 요소를 삽입하고 서명된 요소를 래핑합니다. 앱이 서명을 검증하는 동안 가짜 데이터를 처리하면 XSW에 취약해집니다.
숨겨진 섹션에 서명된 어설션을 삽입하고 눈에 띄는 곳에 가짜 어설션을 삽입합니다. 앱이 가짜 데이터를 처리하는 경우 XSW에 취약합니다.
서명된 요소(<ds:Reference URI="#some-id" />에서 참조되는 요소)를
애플리케이션이 실제 서명된 버전이 아닌 서명되지 않은 버전을 처리할 경우, 애플리케이션은 XSW 공격에 취약합니다. 앱이 서명의 유효성을 올바르게 검사하고 있지만 서명된 콘텐츠를 사용하고 있는지 확인하지 못하여 공격자가 승인되지 않은 데이터를 삽입할 수 있습니다.
잘못된 어설션을 보내고 장황한 오류나 일관되지 않은 응답을 관찰합니다. 이러한 응답은 앱의 XML 보안 및 유효성 검사 논리의 약점을 노출할 수 있습니다.
SAML Raider, SoapUI 또는 사용자 지정 XML 테스트 툴과 같은 툴을 사용하여 XSW 공격 패턴을 적용합니다. 애플리케이션이 페이로드 중 하나 이상을 수락하고 처리하는 경우 XSW 취약성을 나타냅니다.
앱이 서명되어 신뢰할 수 있는 요소인지 확인하지 않은 채 태그 이름만으로 XML 데이터를 선택해 읽는다면, 조작된 가짜 데이터를 처리하도록 속을 수 있습니다.
애플리케이션을 XSW 공격으로부터 보호하기 위해 개발자는 엄격한 XML 처리를 구현하고, 서명을 올바르게 검증하며, 신뢰할 수 있고 서명된 데이터만 사용하도록 할 수 있습니다.
다음은 XSW 공격을 방어하는 데 도움이 될 수 있는 몇 가지 구체적인 대응책입니다.
인증이나 권한 부여에 사용되는 정확한 XML 요소가 디지털 서명된 요소와 동일한지 확인하세요. 이렇게 하면 공격자가 합법적인 서명된 어설션 대신, 애플리케이션이 잘못 처리할 수 있는 두 번째 서명되지 않은 어설션을 주입하는 것을 방지할 수 있습니다.
엔벨로프 서명은 서명하는 요소 내부에 배치되는 서명입니다. 인벨로핑은 공격자가 구조를 깨지 않고 서명된 콘텐츠 외부에 악성 요소를 삽입하기 어렵게 만들어 래핑이나 대체를 방지하는 데 도움이 됩니다.
중복된 ID, 외부 엔티티 참조 또는 예기치 않은 구조가 있는 문서를 거부하도록 구성된 보안 XML 파서를 사용합니다. XSW는 중복 태그 또는 여러 어설션을 삽입하는 등 XML 구조를 조작하는 데 의존합니다. 엄격한 구문 분석은 잘 구성되고 스키마를 준수하는 입력을 강제로 적용하여 이러한 공격 표면을 줄입니다.
애플리케이션의 처리 논리를 서명에서 참조되는 XML 요소에 직접 연결합니다(ID 특성 또는 서명
명시적으로 요구되지 않는 한 둘 이상의 <Assertion>이 포함된 SAML 응답을 거부합니다. XSW 공격은 종종 두 번째 어설션을 삽입합니다. 하나만 처리되도록 하면 모호성을 없애고 위험을 줄이는 데 도움이 됩니다.
안전한 기본 구성으로 XML 디지털 서명 검증을 위해 잘 관리되고 보안에 민감한 라이브러리(예: Apache Santuario 또는 OpenSAML)를 사용합니다. 이러한 라이브러리에는 올바르게 구성된 경우 서명 래핑에 대한 기본 제공 보호 기능이 포함되어 있는 경우가 많습니다.
공식 SAML XML 스키마 정의(XSD)에 대해 들어오는 SAML 어설션을 검증합니다. 유효성 검사는 공격자가 비즈니스 논리를 우회하거나 XML 파서를 혼동하는 예기치 않은 요소나 특성을 삽입하는 것을 방지합니다.
서명된 XML에 사용되는 각 ID 속성(예: 어설션)이 고유하고 참조가 하나의 요소만 일치하는지 확인합니다. XSW 익스플로잇은 서명의 한 요소를 참조하고 동일한 ID 또는 태그 이름을 가진 다른 요소를 삽입함으로써 성공할 수 있습니다. 고유성을 적용하면 이러한 혼란을 방지하는 데 도움이 됩니다.
이러한 관행은 공격자가 XML 구조 및 서명 처리 논리를 악용할 위험을 줄여 많은 XSW 공격의 문을 효과적으로 닫을 수 있습니다.
