PDF 플랫폼의 탈바꿈, 단순 뷰어에서 사이버 공격 경로로

현대 PDF 플랫폼이 단순한 문서 뷰어 역할을 넘어서 고도의 공격 경로로 탈바꿈하고 있다. 인공지능 기반 보안 스타트업인 Novee 사이버 시큐리티에 따르면, Foxit Software와 Apryse Software의 두 PDF 생태계에 걸쳐 16가지 취약점이 발견되었다고 한다. 보고서는 PDF 뷰어가 웹 애플리케이션과 유사한 복잡한 신뢰 경계와 데이터 흐름의 위험을 내포하고 있다고 경고한다. 이는 악성 문서를 열거나 조작된 URL을 방문하는 것만으로도 브라우저나 운영체제를 활용하지 않고 코드를 실행하거나 데이터를 노출시킬 수 있음을 의미한다.

발견된 취약점은 클라이언트 측 뷰어, 내장 플러그인, 서버 측 PDF 서비스 등 광범위하게 걸쳐 있으며, 이를 통해 공격자는 문서 개체 모델(DOM) 기반 크로스사이트 스크립팅, 데이터 유출 경로를 이용한 서버 측 요청 위조, 백엔드 협업 서비스의 경로 탐색, PDF 소프트웨어 개발 키트 내 운영체제 명령 주입 등을 실행할 수 있다.

많은 취약점은 PDF, 웹 주소 또는 메시지에서 제공되는 불신입력이 자바스크립트 엔진, 웹어셈블리 구성 요소, 교차 출처 iframe, 백엔드 렌더링 서비스로 확산되어 일관된 검증 없이 사용될 때 발생한다. 이러한 공격 체인은 초기 문서, URL 또는 메시지에서 클라이언트 상태, iframe 경계 또는 postMessage 핸들러를 거쳐 DOM 렌더링, 내부 네트워크 요청, 파일 시스템 접근 또는 운영체제 명령 실행 같은 고위험 영역으로 이동한다.

보고서는 문서 플랫폼이 강력해질수록 신뢰 가정이 실패하면 더 위험해진다는 점을 강조한다. PDF는 이제 단순한 파일이 아닌, 전체 시스템 컴프러마이징을 위한 실행 경로로 변모되었다는 점을 밝혔다.