JSON 정책 설정
[정책] > [기본 무해화 정책] > [JSON] 설정
JSON 탭은 JSON 파일 내 포함될 수 있는 보안 위협 요소를 차단하는 정책을 설정합니다.
중복 키, 실행형 링크, 내장 파일, 위험 키, 연산자 등을 제어하여 JSON 기반 공격을 방어할 수 있습니다.
⚠️ 기본 무해화 정책 설정 권한은 [관리자 유형 - 시스템 관리자]에게 있으며,
관리자 권한 설정은 [관리자 설정] > [계정 및 권한 관리] 에서 가능합니다.
설정 항목 상세 설명
| 정책명 | 설명 |
|---|---|
| JSON 중복키 차단 설정 | JSON 내 중복된 키가 포함된 경우 차단 여부를 설정합니다. 키가 중복되면 어떤 값이 �적용될지 예측할 수 없어 권한이나 설정이 변경될 수 있습니다. --- 이 취약점을 악용해 관리자 권한을 획득한 사례(CVE-2017-12635)가 있습니다. |
| 지정한 실행형 링크 차단 설정 | JSON 내 포함 시 차단할 실행형 링크 스킴을 지정합니다. javascript, data, vbscript, file 등의 실행형 스킴은 클릭 시 코드 실행이나 파일 접근을 유발할 수 있습니다. 입력 예시) javascript;data;vbscript;file; |
| 지정한 내장 파일 형식(MIME) 차단 설정 | JSON 내 포함 시 차단할 파일 형식(MIME)을 지정합니다. JSON 파일 안에는 base64로 파일이 포함될 수 있어 악성 코드 실행 위험성이 있습니다. --- EXE나 DLL 같은 실행 파일은 기본적으로 차단하는 것을 권장합니다. 빈 값으로 설정하면 모든 파일 형식을 차단합니다. 입력 예시) application/x-dosexec;application/zip; |
| 지정한 위험키 차단 설정 | JSON 내 포함 시 차단할 위험키를 지정합니다. __proto__, constructor 등은 내부 동작을 변경해 권한·설정이 바뀔 수 있는 위험 키입니다. (관련 사례: CVE-2018-16487) 입력 예시) __proto__;constructor; |
| 지정한 연산자 차단 설정 | JSON 내 포함 시 차단할 연산자를 지정합니다. MongoDB 등의 데이터베이스에서 사용하는 $ 연산자는 임의의 명령을 실행할 수 있어 데이터 변조·탈취·권한탈취로 이어질 수 있습니다. 입력 예시) $where;$eval; |
입력 규칙 및 유의사항
- 지정한 실행형 링크 차단 설��정은 세미콜론(;)으로 구분하여 여러 스킴을 입력할 수 있습니다.
- 지정한 내장 파일 형식(MIME) 차단 설정은 MIME 타입을 세미콜론(;)으로 구분하여 입력하며, 빈 값으로 설정하면 모든 파일 형식을 차단합니다.
- 지정한 위험키 차단 설정은 세미콜론(;)으로 구분하여 여러 키를 입력할 수 있습니다.
- 지정한 연산자 차단 설정은 세미콜론(;)으로 구분하여 여러 연산자를 입력할 수 있습니다.
참고 사항
| 용어 | 정의 | 보안 위협 |
|---|---|---|
| 중복 키 | JSON 파일에서 같은 이름의 키가 두 번 이상 사용되는 경우 | 어떤 값이 적용될지 예측 불가능하여 권한이나 설정이 변경될 수 있음 |
| 실행형 링크 스킴 | javascript, data, vbscript, file 등 클릭 시 코드 실행이나 파일 접근을 유발하는 프로토콜 | 악성 코드 실행이나 파일 시스템 접근으로 이어질 수 있음 |
| 내장 파일 (Base64) | JSON 파일 내에 base64로 인코딩되어 포함된 파일 | 악성 코드가 파일 형태로 포함되어 실행될 수 있음 |
| 위험 키 | __proto__, constructor 등 JavaScript 내부 동작을 변경할 수 있는 특수 키 | 프로토타입 오염 공격으로 권한이나 설정이 변경될 수 있음 |
| $ 연산자 | MongoDB 등 NoSQL 데이터베이스에서 사용하는 쿼리 연산자 | 임의의 명령을 실행하여 데이터 변조, 탈취, 권한 탈취로 이��어질 수 있음 |
- 설정 변경 이후에는 [정책 변경 내역] 메뉴에서 기록 확인 및 복원이 가능합니다.