문제
**LDAP 인젝션(LDAP Injection)**의 공격 원리를 설명하고, 이를 방어하기 위한 대응 방안을 3가지 이상 서술하시오.
정답
LDAP 인젝션은 웹 애플리케이션이 사용자 입력값을 제대로 검증하지 않아 공격자가 LDAP 쿼리에 악의적인 필터나 연산자를 삽입하여 디렉터리 서비스를 비정상적으로 조작하는 공격이다. 대응 방안으로는 1) 입력값 검증 및 특수문자(*, (, ), , /, +, =, <, >, |, &, ;) 필터링, 2) 매개변수화된 LDAP 쿼리 사용으로 입력과 쿼리 구조 분리, 3) 최소 권한 원칙에 따른 LDAP 바인딩 계정 권한 제한, 4) LDAP 서버 접근 로그 모니터링 및 이상 행위 탐지 등이 있다.
LDAP 필터 삽입입력값 검증매개변수화 쿼리특수문자 필터링최소 권한로그 모니터링
해설
LDAP 인젝션은 Active Directory, OpenLDAP 등 디렉터리 서비스를 대상으로 하는 공격입니다. 공격자는 로그인 폼이나 검색 필드에 LDAP 특수문자를 삽입하여 인증 우회나 민감한 디렉터리 정보 탈취를 시도합니다. 특히 '(uid=)(password=)' 같은 패턴으로 모든 사용자 정보에 접근할 수 있어 위험합니다. 매개변수화된 쿼리와 철저한 입력 검증이 핵심 방어 기법입니다.