10년 된 PostgreSQL 제로데이 취약점을 이용한 미국 재무부 해킹
2025-03-17
미국 재무부가 약 10년 전부터 존재해 온 PostgreSQL의 SQL 인젝션 취약점을 이용한 데이터 유출 피해를 입었습니다. 이 공격은 단순한 SQL 인젝션이 아니었으며, PostgreSQL 내부의 문자열 이스케이프 메서드 출력을 psql 명령줄 도구에 직접 입력하는 방식으로 이루어졌습니다. 공격자는 `c0 27`이라는 2바이트를 사용하여 Beyond Trust의 PAM 도구와 pg_escape_string 함수를 우회하고, psql을 완전히 제어하여 임의의 시스템 명령을 실행했습니다. 이는 철저히 검토된 오픈소스 프로젝트에서도 미묘하고 오랫동안 존재해 온 취약점이 심각한 보안 위반으로 이어질 수 있음을 보여줍니다.
더 보기