|
오늘날 우리가 일상적으로 사용하는 대다수 모바일 앱과 최신 웹사이트들은 데이터를 더 빠르게 주고받기 위해 차세대 웹 통신 규약인 ‘HTTP/2’를 기반으로 한다. 현재 인터넷 트래픽의 절반 이상이 이 규칙을 사용하고 있지만 해커의 공격을 최전선에서 방어하는 웹 방화벽의 상당수는 여전히 과거(HTTP/1.1)의 보안 수준에 머물러 있다.
연구팀은 HTTP/2의 구조적 허점을 파고들어 웹 방화벽과 웹 서버가 같은 요청을 서로 다르게 해석하는 취약점을 찾아내고 이를 이용해 ‘스트림 파서 혼동 공격’(SPCA·Stream Parser Confusion Attack)을 개발했다. 해커들이 악용하기 전에 SPCA라는 신종 해킹 수법을 먼저 개발해 인터넷 생태계에 위험성을 알리고 선제적으로 보호한 것이다.
SPCA는 공격 문자열(해킹 데이터) 자체는 전혀 손대지 않고 HTTP/2 표준(RFC 9113)이 허용하는 범위 안에서 데이터가 전송되는 순서와 구조만 바꾼다. 그 결과 웹 방화벽은 이를 정상으로 판단해 통과시키지만 이후 데이터를 재조합하는 서버는 그 안의 악성 명령을 그대로 실행하게 된다.
연구팀은 이러한 보안 취약성을 전 세계 웹 방화벽 업체들에 제보했다. 이후 AWS는 지난달 29일 CVE(국제 표준 보안 취약점 관리 시스템)에 두 취약점을 공식 등록했다. CVE에 등록된 두 취약점은 ‘심각(CVSS 9.8)’ 등급을 받았다.
연구팀은 “AWS가 해당 취약점을 공식 등록한 것은 우리 연구팀이 규명한 ‘파싱(데이터 해석) 불일치’ 문제가 실제로 심각한 위협이라는 점을 보여준다”고 말했다.




![위험합니다. 나가주세요…장마철 골칫덩이 된 낚시꾼들 [르포]](https://image.edaily.co.kr/images/vision/files/NP/S/2026/07/PS26070901240t.jpg)
![[단독]강남 한복판서 외국인 관광객이 경비원 '무차별 폭행' (영상)](https://image.edaily.co.kr/images/Photo/files/NP/S/2026/07/PS26071000002t.jpg)