.NET 프레임워크 내 오래된 프록시 설계 방식이 새로운 형태의 원격 시스템 공격 경로로 악용될 수 있다는 사이버보안 업계의 경고가 제기됐다. 보안기업 watchTowr의 최신 연구에 따르면, SOAP 클라이언트 프록시를 이용해 악성 파일을 임의로 시스템에 쓰거나 원격 코드 실행이 가능한 취약점이 발견됐다. 이 결함은 마이크로소프트 문서에서도 권장되는 방식으로 널리 사용돼온 만큼, 기업 전반으로 파장이 확산될 수 있다는 우려가 커지고 있다.

해당 취약점은 .NET 프레임워크의 핵심 웹 요청 처리 클래스인 HttpWebClientProtocol 내부 동작에 뿌리를 두고 있다. 이 클래스는 일반적으로 HTTP 요청만을 처리하도록 설계됐지만 내부적으로 WebRequest.Create를 호출하면서 프로토콜 검증을 제대로 수행하지 않는다. 이로 인해 공격자는 file:// 또는 SMB 경로 같은 HTTP 이외의 핸들러를 활용해, 파일 시스템에 SOAP 요청 본문을 직접 기록할 수 있게 된다.

watchTowr 연구진이 유럽 '블랙햇 2025' 컨퍼런스에서 발표한 내용에 따르면, 이 기술을 악용하면 NTLM 인증 우회, 스크립트 및 설정 파일 덮어쓰기, 그리고 궁극적으로는 ASPX 및 CSHTML 기반 웹쉘을 통한 서버 장악까지 가능하다. 특히 attacker가 조작한 WSDL(Web Services Description Language) 파일을 통해 서비스 URL, 메서드명, 입력 타입까지 마음대로 제어할 수 있다는 점에서 위협 강도가 큰 것으로 평가된다.

실제 테스트에서도 이 기법은 대기업용 소프트웨어 제품 다수에 성공적으로 적용됐다. Barracuda의 RMM 솔루션, Ivanti 관리 플랫폼, Umbraco CMS 등이 주요 타깃이 됐다. Barracuda 사례에서는 인증되지 않은 단 하나의 SOAP 요청만으로 악성 WSDL이 로드되고, 결과적으로 웹 디렉토리에 웹쉘이 생성돼 시스템 전체가 노출되는 결과를 초래했다.

그러나 문제 해결은 예상보다 더디다. watchTowr는 지난 2024년부터 마이크로소프트 측과 결함 공유 및 협의에 나섰으나, 마이크로소프트는 해당 이슈를 '프레임워크의 결함이 아닌 애플리케이션 수준의 책임'으로 분류하며 뚜렷한 조치를 내놓고 있지 않다. 마이크로소프트는 대신 개발자들에게 ‘신뢰되지 않은 입력을 URL 또는 WSDL 처리에 사용하지 말라’는 경고만을 남긴 상황이다. 하지만 연구진은 이를 두고 “HTTP 클라이언트 프록시가 파일 시스템 접근에 동원될 수 있다는 점 자체가 명백히 비직관적이며, 사용자 또는 개발자 책임으로만 돌릴 일은 아니다”라고 반박한다.

전문가들은 이번 결함이 단순히 특정 앱에 국한되지 않고, 기업 내부 개발 소프트웨어를 비롯한 다수 .NET 기반 시스템에 널리 분포해 있을 가능성을 제기하고 있다. 이에 따라 시스템 방어자들에게는 SoapHttpClientProtocol의 URL에 사용자 입력이 직접 연결되거나, ServiceDescriptionImporter 클래스를 통해 동적으로 프록시가 생성되는 구조가 존재하는지 전수 조사해야 한다는 권고가 내려졌다.

이번 연구 결과는 마이크로소프트 생태계 내 광범위한 설계 취약성을 드러내는 한편, 오랜 기간 누적된 레거시 코드가 보안의 주요 리스크로 작용할 수 있음을 다시금 입증했다.