클라우드플레어, ACME 검증 버그로 인한 WAF 우회 취약점 수정

2026.01.22 17:09:27

[무료 초대] 2026 제조AX 대전망 온라인 컨퍼런스에서 피지컬AI, 제조AI, 지능형 로봇, 스마트물류, 스마트공정제어, 품질혁신, 자율제조SW, ESG까지 만나보세요 (2.2~6)

클라우드플레어가 자동 인증서 관리 환경 검증 로직의 취약점으로 인해 웹 애플리케이션 방화벽을 우회해 원본 서버에 접근할 수 있던 문제를 수정했다.

IT 보안 매체 더 해커 뉴스(The Hacker News)에 따르면 이 취약점은 클라우드플레어의 자동 인증서 관리 환경인 ACME(Automatic Certificate Management Environment) 검증 로직에 영향을 주는 것으로, 보안 통제를 우회해 오리진 서버에 접근할 수 있게 만드는 문제가 있었다고 전했다. 클라우드플레어의 인프라 엔지니어인 흐루시케시 데시판데(Hrushikesh Deshpande), 앤드루 미첼(Andrew Mitchell), 릴랜드 가로팔로(Leland Garofalo)는 이 취약점이 ACME HTTP-01 챌린지 경로인 "/.well-known/acme-challenge/*"로 향하는 요청을 엣지 네트워크가 처리하는 방식에 뿌리를 두고 있었다고 밝혔다.

클라우드플레어는 이 취약점이 악의적인 맥락에서 실제 악용됐다는 증거는 발견되지 않았다고 설명했다. ACME는 RFC 8555로 정의된 통신 프로토콜로, SSL/TLS 인증서의 자동 발급, 갱신, 폐기를 가능하게 한다. 인증서 발급 기관(CA)이 웹사이트에 제공하는 모든 인증서는 도메인 소유권을 증명하기 위한 챌린지를 통해 검증된다.

이 과정은 일반적으로 서트봇(Certbot)과 같은 ACME 클라이언트를 사용해 진행되며, HTTP-01 또는 DNS-01 챌린지를 통해 도메인 소유권을 증명하고 인증서 수명주기를 관리한다. HTTP-01 챌린지는 웹 서버의 HTTP 80번 포트에서 "https://<YOUR_DOMAIN>/.well-known/acme-challenge/<TOKEN>" 위치에 있는 검증 토큰과 키 지문을 확인하는 방식으로 이뤄진다. CA 서버는 해당 파일을 가져오기 위해 정확히 그 URL로 HTTP GET 요청을 보내며, 검증에 성공하면 인증서가 발급되고 그 서버에 등록된 ACME 계정이 해당 도메인을 관리할 수 있는 권한이 있는 것으로 표시된다.

챌린지가 클라우드플레어가 관리하는 인증서 주문에 사용되는 경우, 클라우드플레어는 앞서 언급한 경로에서 응답을 제공하고 CA가 제공한 토큰을 호출자에게 돌려준다. 반대로 클라우드플레어가 관리하지 않는 인증서 주문과 연관된 경우, 요청은 도메인 검증을 위해 다른 시스템을 사용하는 고객 오리진 서버로 라우팅될 수 있다.

이 취약점은 2025년 10월 취약점 조사 업체 피어즈오프(FearsOff)가 발견해 보고한 것으로, ACME 검증 과정의 구현 결함으로 인해 해당 URL로 들어오는 일부 챌린지 요청에서 웹 애플리케이션 방화벽(WAF) 규칙이 비활성화되고, 차단되어야 할 요청이 오리진 서버에 도달하게 만드는 문제가 있었다. 다른 말로 하면, 이 로직은 요청에 포함된 토큰이 해당 호스트명에 대한 활성 챌린지와 실제로 일치하는지 제대로 확인하지 못해, 공격자가 임의의 요청을 ACME 경로로 전송해 WAF 보호를 완전히 우회하고 오리진 서버에 도달하도록 허용하는 결과를 낳았다.

클라우드플레어는 과거 동작에 대해, 자사가 HTTP-01 챌린지 토큰을 제공하는 상황에서 호출자가 요청한 경로가 시스템 내 활성 챌린지의 토큰과 일치하면 ACME 챌린지 토큰을 제공하는 로직이 WAF 기능을 비활성화하도록 설계돼 있었다고 설명했다. 이는 해당 기능들이 CA가 토큰 값을 검증하는 과정에 간섭해 자동 인증서 주문과 갱신에 실패를 유발할 수 있기 때문에 적용된 조치였다. 그러나 사용된 토큰이 다른 존에 연관돼 있고 클라우드플레어가 직접 관리하지 않는 경우에도, 해당 요청이 WAF 규칙의 추가 처리 없이 고객 오리진으로 전달되는 상황이 발생할 수 있었다.

피어즈오프의 창업자이자 최고경영자인 키릴 피르소프(Kirill Firsov)는 이 취약점이 악의적인 사용자가 결정론적이고 장기간 유효한 토큰을 확보해 모든 클라우드플레어 호스트에 걸쳐 오리진 서버의 민감한 파일에 접근하고, 정찰 활동을 수행하는 길을 열어줄 수 있었다고 말했다. 클라우드플레어는 2025년 10월 27일 이 취약점을 수정했으며, 이제는 요청이 해당 호스트명에 대한 유효한 ACME HTTP-01 챌린지 토큰과 일치하는 경우에만 응답을 제공하고 WAF 기능을 비활성화하도록 코드 변경을 적용했다.

헬로티 |

헬로티 의 전체기사 보기