문제
LDAP 인젝션(LDAP Injection) 공격의 원리를 설명하고, 이를 방어하기 위한 대응 방안을 4가지 이상 서술하시오.
정답
LDAP 인젝션은 사용자 입력을 검증 없이 LDAP 쿼리나 필터 문자열에 직접 포함시켜, 공격자가 특수문자와 논리 연산자를 주입해 인증을 우회하거나 디렉터리 정보를 부당하게 조회하는 공격이다. 대응 방안으로는 1) LDAP 특수문자 이스케이프 처리, 2) 화이트리스트 기반 입력값 검증, 3) 안전한 LDAP API 또는 문자열 결합 방지, 4) LDAP 계정 최소 권한 적용, 5) 비정상 쿼리 로깅 및 탐지, 6) 접근 제어와 민감 경로 제한이 있다.
LDAP특수문자 주입입력값 검증이스케이프최소 권한매개변수화
해설
LDAP 인젝션은 필터 조건에 사용자 입력이 그대로 들어가면서 필터 구조가 바뀌는 것이 핵심 원인이다. 따라서 입력 검증, 특수문자 이스케이프, 안전한 API 사용, 최소 권한, 탐지와 모니터링을 함께 적용해야 효과적으로 방어할 수 있다.