파이썬 파일입출력 안전 가이드 Zip Slip 취약점 방지와 안전한 압축 해제 방법

🔎 Zip Slip 취약점 이해하기

Zip Slip은 압축 파일 내부에 포함된 파일 경로를 검증하지 않고 해제할 경우 발생하는 보안 취약점입니다.
공격자는 압축 파일에 ../../ 같은 경로 조작 문자열을 삽입하여 압축 해제 시 지정된 대상 디렉터리 밖에 파일을 생성하거나 덮어쓰게 만들 수 있습니다.
이러한 방식으로 시스템 내의 중요한 설정 파일이나 실행 파일이 손상될 수 있으며, 결과적으로 원격 코드 실행이나 권한 상승 공격으로 이어질 수 있습니다.

대표적인 피해 사례로는 웹 애플리케이션 서버의 설정 파일이 공격자가 조작한 압축 파일 해제로 인해 변경되어, 서비스 장애나 데이터 유출이 발생하는 경우가 있습니다.
특히 자동으로 압축 파일을 업로드 받아 처리하는 서비스에서는 이 취약점이 심각한 보안 리스크가 될 수 있습니다.

⚠️ 왜 위험한가?

Zip Slip의 가장 큰 위험은 사용자가 의도하지 않은 위치에 파일을 생성한다는 점입니다.
만약 공격자가 시스템의 /etc/passwd 같은 중요한 파일을 덮어쓰거나 웹 서버의 루트 디렉토리에 악성 스크립트를 삽입한다면, 전체 서버가 장악될 수 있습니다.

💬 Zip Slip은 단순한 압축 해제 과정에서도 발생할 수 있기 때문에, 보안 전문가들은 파일 경로 검증을 필수 절차로 권고하고 있습니다.

• 🛠️압축 파일 해제 전, 파일 경로를 반드시 검증해야 합니다.
• 🔍../ 같은 상위 디렉토리 이동 패턴이 있는지 확인해야 합니다.
• 📂해제 대상 경로(dest) 바깥으로 벗어나지 않도록 경계 검증을 적용해야 합니다.

🛠️ 파이썬에서 zip 파일 안전하게 해제하기

파이썬에서는 zipfile 모듈을 사용하여 손쉽게 zip 파일을 해제할 수 있습니다.
하지만 기본적으로 제공되는 extractall() 함수는 파일 경로 검증을 하지 않기 때문에 Zip Slip 취약점에 노출될 수 있습니다.
따라서 안전하게 zip 파일을 다루려면 반드시 경로를 검증하고, 지정된 대상 디렉토리(dest) 안에만 파일이 생성되도록 처리해야 합니다.

✅ 안전한 zip 해제 코드 예제

import os
import zipfile

def safe_extract(zip_file, dest):
    with zipfile.ZipFile(zip_file, 'r') as zf:
        for member in zf.infolist():
            # 파일이 해제될 전체 경로 계산
            extracted_path = os.path.realpath(os.path.join(dest, member.filename))
            
            # dest 경로를 벗어나는지 검증
            if not extracted_path.startswith(os.path.realpath(dest)):
                raise Exception("경로 탈출 공격 시도 감지!")
            
            zf.extract(member, dest)

위 코드에서는 os.path.realpath()를 활용하여 실제 파일 경로를 계산하고, 지정된 dest 경로로 시작하지 않는다면 예외를 발생시켜 공격을 차단합니다.
이러한 방식은 Zip Slip 취약점을 효과적으로 막아줍니다.

🔒 zipfile 모듈 사용 시 주의사항

– extractall()을 무조건 사용하는 것은 지양해야 합니다.

– 압축 파일을 신뢰할 수 없는 외부 입력으로 받았다면, 반드시 안전한 경로 검증을 수행하세요.

– 대용량 압축 파일의 경우 디스크 공간 소모 공격(Zip Bomb)에 대비한 추가 검증이 필요합니다.

⚙️ tar 파일 보안 해제 기법

zip 파일과 마찬가지로 tar 파일도 보안상 안전하게 해제하지 않으면 Zip Slip과 유사한 경로 탈출(Path Traversal) 공격에 노출될 수 있습니다.
파이썬의 tarfile 모듈은 강력하지만 기본 제공 함수인 extractall() 역시 별도의 검증이 없기 때문에 주의가 필요합니다.

✅ 안전한 tar 해제 코드 예제

import os
import tarfile

def is_safe_path(base, target):
    return os.path.realpath(target).startswith(os.path.realpath(base))

def safe_extract_tar(tar_file, dest):
    with tarfile.open(tar_file, 'r:*') as tf:
        for member in tf.getmembers():
            extracted_path = os.path.join(dest, member.name)
            if not is_safe_path(dest, extracted_path):
                raise Exception("경로 탈출 공격 시도 감지!")
            tf.extract(member, dest)

위 코드에서는 tar 내부 파일이 dest 바깥 경로로 빠져나가지 않도록 is_safe_path() 검증을 수행합니다.
이 과정을 통해 공격자가 의도적으로 삽입한 상위 디렉터리 이동(../) 패턴을 차단할 수 있습니다.

⚠️ tar 파일 보안에서 자주 놓치는 부분

1. 심볼릭 링크 파일이 포함된 경우, 링크가 외부 경로를 가리키면 보안 위험이 생길 수 있습니다.

2. 압축 해제 과정에서 권한 비트(permission bits)가 그대로 적용되면 실행 권한이 불필요하게 부여될 수 있습니다.

3. 대용량 tar 파일의 경우, 디스크 용량 부족 공격을 유발할 수 있으므로 사전 검증이 필요합니다.

📂 dest 경계 검증의 중요성

압축 파일 해제 과정에서 가장 중요한 보안 절차는 바로 dest 경계 검증입니다.
모든 파일은 반드시 지정된 디렉토리 내부에만 해제되어야 하며, 한 파일이라도 이 경계를 벗어난다면 Zip Slip 취약점이 발생할 수 있습니다.
경계 검증은 zip과 tar뿐만 아니라 기타 아카이브 포맷에도 동일하게 적용할 수 있는 보안 기본 원칙입니다.

🔎 경계 검증 방법

경계 검증은 간단히 말해 압축 해제 후의 실제 경로가 dest 디렉토리 경로로 시작하는지 여부를 확인하는 과정입니다.
이 과정을 생략하면 ../ 같은 상대경로 조작으로 인해 지정 경로 바깥에 파일이 풀리게 됩니다.

💡 실제 적용 사례

대규모 파일 업로드 시스템이나 CI/CD 파이프라인에서 자동으로 압축 파일을 처리할 때 경계 검증은 반드시 필요한 절차입니다.
예를 들어, 클라우드 서버에 고객이 업로드한 압축 파일을 자동으로 해제하는 경우, 검증 로직이 없다면 서버 내 임의 파일이 덮어써져 서비스 전체가 마비될 수 있습니다.

💡 안전한 파일 해제를 위한 베스트 프랙티스

Zip Slip 취약점을 예방하고 안전하게 압축 파일을 처리하기 위해서는 몇 가지 기본 원칙을 지켜야 합니다.
이는 개발 환경뿐 아니라 실제 서비스 운영 환경에서도 동일하게 적용됩니다.
아래에서는 실무에서 반드시 지켜야 할 핵심 베스트 프랙티스를 정리했습니다.

✅ 필수 보안 체크리스트

• 🔒압축 해제 시 경로 검증 로직을 반드시 구현할 것
• 📂모든 파일은 지정된 dest 디렉토리 안에서만 생성되도록 제한
• 🛡️압축 파일 내부의 심볼릭 링크와 하드 링크는 사전에 차단 또는 무시
• ⚠️대용량 압축 파일의 경우 디스크 사용량을 검증하여 Zip Bomb 공격 방지
• 🔍업로드된 압축 파일의 확장자와 실제 포맷이 일치하는지 확인
• 📝로그를 남겨 공격 시도를 추적할 수 있도록 감사 기록(Audit Log) 활성화

💡 추가 보안 팁

보안 취약점은 작은 부주의에서 비롯되는 경우가 많습니다.
압축 파일 해제 과정에서 위의 원칙을 준수한다면, 서비스의 신뢰성과 안정성을 크게 높일 수 있으며 사용자 데이터를 안전하게 보호할 수 있습니다.

❓ 자주 묻는 질문 (FAQ)