CSRF 소개
CSRF(Cross-Site Request Forgery)는 웹 애플리케이션의 취약점을 악용하는 공격 유형입니다. 이 공격은 사용자가 신뢰할 수 있는 웹 사이트에 로그인한 상태에서 악성 웹 사이트를 방문하거나 악성 이메일을 열어 공격자가 의도한 웹 요청을 실행하게 하는 방식으로 진행됩니다. 이러한 공격이 성공하면, 공격자는 사용자의 권한으로 웹 애플리케이션에서 원하지 않는 작업을 수행할 수 있습니다.
CSRF 공격의 예시를 들어보겠습니다. 사용자가 온라인 뱅킹 서비스에 로그인한 상태에서 이메일을 확인하고 악성 링크를 클릭했다고 가정해봅시다. 악성 웹 사이트는 로그인한 사용자의 뱅킹 서비스에 대한 요청을 조작하여, 예를 들어 공격자의 계좌로 돈을 송금하는 작업을 실행하게 만듭니다. 사용자가 이 작업에 동의하지 않았음에도 불구하고, 뱅킹 서비스는 요청을 사용자의 동작으로 인식하고 송금 작업을 수행하게 됩니다.
CSRF 공격을 방어하기 위한 몇 가지 방법이 있습니다:
- CSRF 토큰 사용: 애플리케이션은 사용자 세션에 대해 고유한 무작위 문자열인 CSRF 토큰을 생성합니다. 이 토큰은 폼 데이터와 함께 서버로 전송되며, 서버는 토큰을 검증하여 요청이 정당한지 확인합니다. 공격자는 이 토큰을 알 수 없으므로, 공격이 실패하게 됩니다.
- SameSite 쿠키: 최신 웹 브라우저는 SameSite 속성을 지원하는 쿠키를 사용할 수 있습니다. 이 속성은 쿠키가 동일한 사이트에서만 전송되도록 제한하여, CSRF 공격을 방지할 수 있습니다.
- 검증된 사용자 상호작용 요구: 민감한 작업을 수행하기 전에 사용자가 추가 인증 과정을 거치도록 요구할 수 있습니다. 예를 들어, 비밀번호나 PIN을 다시 입력하거나, 이메일 또는 SMS를 통한 인증 코드를 받아야 합니다. 이는 공격자가 이 추가 인증 과정을 우회하기 어렵게 만듭니다.
이를 통해 사용자의 인증 과정을 강화하고, 공격자에게 추가적인 장벽을 설정하여 CSRF 공격의 가능성을 줄일 수 있습니다. 이러한 방법들을 적절히 조합하여 사용하면 웹 애플리케이션의 보안을 향상시킬 수 있습니다.
