1. 운영체제 명령어 삽입(OS Command Injection)의 위험성

CWE-78은 애플리케이션이 외부 입력값을 사용하여 운영체제 명령어를 생성하는 과정에서 발생합니다. 공격자가 명령어 구분자(;, &, |)나 리다이렉션 문자를 입력값에 섞어 넣으면, 서버는 개발자가 의도한 명령 외에 공격자가 주입한 추가 명령(예: 사용자 계정 탈취, 파일 삭제, 백도어 설치 등)을 수행하게 됩니다. 이는 서버 전체의 제어권이 공격자에게 넘어가는 가장 치명적인 보안 결함입니다.

2. 흔히 발생하는 위험한 패턴: 셸(Shell) 호출 API

가장 위험한 사례는 Runtime.getRuntime().exec()나 ProcessBuilder를 사용하면서 입력값을 문자열 결합(+) 방식으로 전달하는 경우입니다. 예를 들어, 네트워크 상태를 체크하기 위해 사용자가 입력한 IP 주소를 ping 명령어 뒤에 붙여 실행하면, 공격자는 8.8.8.8 ; cat /etc/passwd와 같은 입력으로 시스템의 민감한 정보를 탈취할 수 있습니다.

3. 실무적 대응: API 활용 및 매개변수 분리

최선의 방어책은 운영체제 명령어를 직접 호출하지 않는 것입니다.

• 언어 라이브러리 활용: 파일 삭제는 rm 명령 대신 File.delete()를, 네트워크 체크는 ping 대신 Java의 InetAddress 클래스를 사용하는 등 언어 자체에서 제공하는 안전한 API를 우선 사용하십시오.

• 매개변수 분리 (ProcessBuilder): 어쩔 수 없이 명령어를 실행해야 한다면, 전체 명령어를 하나의 문자열로 만들지 말고 ProcessBuilder의 인자 리스트(List)를 사용하여 명령어와 파라미터를 엄격히 분리하십시오. 이렇게 하면 파라미터 내의 특수문자가 명령어로 해석되지 않습니다.

4. CWE-78 대응 및 안전한 명령어 실행 자바 코드 예시