XML 재작성 공격과 기존 방어 기법의 한계

초록

본 논문은 SOAP 기반 웹 서비스에서 발생하는 XML 재작성 공격의 원리를 설명하고, 현재 제안된 방어 메커니즘들을 검토한다. 각 솔루션의 설계 가정과 구현 방식을 분석한 뒤, 서명 검증의 범위 제한, 구조적 변조 탐지 미비, 정책 기반 접근 제어의 복잡성 등 실질적인 한계를 지적한다. 마지막으로 메시지 무결성 강화와 동적 정책 적용을 결합한 새로운 방어 아이디어를 제시한다.

상세 분석

XML 재작성 공격은 SOAP 메시지의 구조적 요소를 변조하면서도 디지털 서명 검증을 회피하는 기법이다. 공격자는 요소의 위치를 이동하거나 중복 삽입, 불필요한 래퍼를 추가함으로써 원본 서명 범위와 일치하도록 만든다. 기존 방어책은 크게 세 가지로 구분된다. 첫째, WS‑Security 기반의 XML 디지털 서명 검증은 메시지 전체가 아닌 특정 엘리먼트만 서명하도록 설계돼, 구조 변경 시 서명 검증이 무력화된다. 둘째, XML Schema 기반 검증은 스키마 정의에 따라 메시지 형식을 제한하지만, 스키마 자체가 공격에 취약하거나 동적 서비스 환경에서 스키마 업데이트가 어려워 실효성이 떨어진다. 셋째, 정책 기반 접근 제어는 SOAP 헤더에 포함된 보안 토큰을 검사하지만, 토큰 검증 로직이 메시지 본문과 분리돼 있어 구조 변조를 탐지하지 못한다. 이러한 한계는 특히 복합 서비스 체인에서 중계 노드가 메시지를 재포장하거나 라우팅할 때 심각해진다. 논문은 또한 기존 연구가 서명 검증 시 ‘XPath Canonicalization’에 의존하는데, 이 과정이 구현마다 차이가 나면서 동일한 논리적 메시지라도 서로 다른 해시값을 생성할 수 있음을 지적한다. 결과적으로 공격자는 동일한 논리 구조를 유지하면서 물리적 XML 트리를 변형해 서명을 회피한다. 마지막으로, 현재 솔루션들은 성능 저하와 구현 복잡성을 이유로 실무 적용이 제한적이며, 표준화된 검증 절차가 부재한 점도 문제점으로 꼽힌다.