WAF도 속았다! 😱 파라미터 오염을 이용한 XSS 신기술

최근 보안 연구자들이 진행한 자율 침투 테스트에서 강력한 웹 방화벽(WAF)마저 속아 넘어간 신종 XSS 기법이 발견됐습니다.
바로 HTTP Parameter Pollution(HTTP 파라미터 오염)을 활용한 방식인데요,
기존의 탐지 룰을 우회하면서도 정상적인 코드처럼 실행되는 점이 굉장히 충격적입니다.
오늘은 이 공격이 어떻게 작동하는지, 왜 무서운지, 그리고 어떻게 대비해야 하는지 함께 살펴보겠습니다.

---

XSS? 그리고 왜 WAF가 중요한가 🔐

XSS(Cross-Site Scripting)는 웹 애플리케이션 보안 취약점 중 가장 흔하면서도 위험한 공격 기법입니다.
공격자가 악성 스크립트를 삽입해 사용자의 브라우저에서 실행되도록 만들면,

• 쿠키 탈취 🍪
• 세션 하이재킹 🕵️
• 가짜 로그인 페이지 삽입 🎭
• 내부 네트워크 스캐닝 🌐

등 다양한 공격이 가능해집니다.

이런 공격을 막기 위해 WAF(Web Application Firewall)이 존재합니다.
보통 WAF는 특정 패턴(예: <script>alert(1)</script>)을 탐지해서 차단하는데요,
문제는 공격자가 조금만 창의적으로 접근하면 이런 룰 기반 필터링을 우회할 수 있다는 겁니다.

---

이번에 발견된 우회 기법 🧩

연구진이 테스트한 애플리케이션은 ASP.NET 기반이었고, 꽤 빡빡하게 설정된 WAF로 보호되고 있었습니다.
보통의 'alert(1)' 같은 페이로드는 바로 차단됐죠.

그런데 연구자들은 파라미터 오염(HTTP Parameter Pollution)을 활용했습니다.
간단히 말해, 동일한 파라미터를 여러 번 전달해 서버와 브라우저가 다르게 해석하도록 유도한 겁니다.

예시를 볼까요?

/text?q=1'&q=alert(1)&q='2

ASP.NET의 HttpUtility.ParseQueryString() 함수는 중복 파라미터를 콤마(,)로 연결합니다.
즉, 서버에서는 이렇게 변환됩니다:

 

1',alert(1),'2

이 값이 자바스크립트 변수에 들어가면…

 

jsuserInput = '1',alert(1),'2';

jsuserInput = '1',alert(1),'2';

자바스크립트에서는 콤마 연산자가 적용돼 alert(1)이 실행되고, 마지막 값 '2'가 변수에 저장됩니다.

즉, WAF는 단일 파라미터 안의 alert(1)은 차단했지만, 파라미터가 분리돼 있으면 전혀 탐지하지 못한 것이죠. 😨

---

실제 테스트 결과 🧪

연구팀은 이 기법을 여러 WAF에 테스트했습니다.

• AWS WAF, F5, FortiWeb 등 → 대부분 우회 성공
• Azure WAF, Google Cloud Armor → 일부 차단했지만 해킹 봇을 돌리자 우회 가능
• open-appsec → 초기엔 막았지만, 자동화된 봇이 곧 새로운 페이로드를 생성해 우회

특히 자동화된 Hackbot(자율 해킹 봇)이 30초 만에 새로운 페이로드를 찾아내는 장면은 충격적이었습니다.
단순한 alert(1)이 막히면 confirm(1), 심지어 new Function('a'+'lert(1)')() 같은 변종까지 생성해서 결국 실행에 성공했습니다.

즉, 인간 보안 전문가 + 자율 해킹 봇의 조합은 기존 WAF를 손쉽게 뚫을 수 있다는 사실이 입증된 겁니다.

---

왜 WAF만으로는 부족한가? ⚠️

이 실험에서 드러난 가장 큰 교훈은 WAF는 만능이 아니라는 것입니다.

• 시그니처 기반 탐지는 조금만 변형된 공격에 무력
• 프레임워크마다 다른 파라미터 처리 방식 → WAF는 이를 모두 반영하기 어려움
• AI·ML 기반 WAF도 공격자가 빠르게 학습을 회피하면 무용지물

즉, WAF는 “추가 방어막”일 뿐이지, 애초에 안전한 코드와 보안 개발이 뒷받침되지 않으면 큰 의미가 없습니다.

---

개발자와 보안팀을 위한 대응 전략 🛡️

그렇다면 우리는 어떻게 대비해야 할까요?

1. 입력값 검증 철저히
   • 모든 사용자 입력은 무조건 검증하고, 필요하면 화이트리스트 방식 적용
2. 출력 시 컨텍스트 인코딩
   • HTML, 자바스크립트, URL 등 맥락에 맞게 적절한 인코딩 처리
3. 프레임워크별 동작 이해
   • ASP.NET은 중복 파라미터 → 콤마 연결
   • 다른 언어/프레임워크는 배열로 처리 → 각각 다른 우회 기법 가능
4. 보안 자동화 도입
   • 정적 분석, 동적 분석, 자율 펜테스트 도구 활용
   • AI 기반 공격이 빠른 만큼, 방어도 자동화가 필수
5. 다계층 방어(Defense in Depth)
   • WAF + 보안 코딩 + MFA + 로그 모니터링 + 침입 탐지 → 종합 방어 체계 구축

---

마무리 ✍️

이번 연구에서 발견된 XSS 우회 기법은 단순히 하나의 취약점이 아닙니다.
👉 “파라미터 해석 차이”라는 본질적인 문제를 공격자가 집요하게 파고든 사례죠.

앞으로 AI 기반 해킹 도구가 더 발전하면, 이런 우회 기법은 훨씬 더 빠르게, 더 다양하게 등장할 겁니다. 따라서 우리 개발자와 보안 담당자들은 이제 “WAF가 막아주겠지”라는 안일한 생각을 버리고, 근본적인 보안 설계와 자동화된 방어 체계에 집중해야 합니다.