문제
LDAP 인젝션(LDAP Injection) 공격에서 공격자가 사용자 인증을 우회하기 위해 활용하는 메타문자의 특성을 분석하고, 이러한 공격을 완전히 차단하기 위한 다층적 방어 체계를 설계하여 서술하시오. 특히 LDAP 필터 구문의 취약점과 Active Directory 환경에서의 추가적 위험요소를 포함하여 설명하시오.
정답
LDAP 인젝션은 사용자 입력에 포함된 LDAP 메타문자(,),(,&,|,!)를 통해 LDAP 필터 로직을 조작하여 인증을 우회하거나 민감한 디렉터리 정보를 탈취하는 공격이다. 공격자는 '(universalMatch)'나 '|(OR연산자)'를 삽입하여 항상 참이 되는 조건을 만들어 인증을 우회한다. 다층적 방어체계로는 1) LDAP 메타문자에 대한 엄격한 입력 검증 및 이스케이프 처리(\ 추가), 2) 매개변수화된 LDAP 쿼리 사용으로 입력값과 필터 구조 분리, 3) 최소 권한 원칙에 따른 LDAP 바인딩 계정 권한 제한, 4) LDAP 쿼리 결과에 대한 추가 검증 로직 구현, 5) Active Directory 환경에서는 Kerberos 사전 인증 강제 및 계정 잠금 정책 강화가 필요하다.
해설
LDAP 인젝션은 SQL 인젝션과 유사하지만 LDAP 특유의 메타문자(, ), (, &, |, !)를 악용한다는 차이가 있다. 특히 ''는 모든 값과 매치되므로 인증 우회에 자주 사용된다. Active Directory 환경에서는 도메인 컨트롤러에 대한 공격이 전체 네트워크 보안에 치명적 영향을 미칠 수 있어 더욱 주의가 필요하다.