사이트 간 요청 위조 (CSRF)

Cross-Site Request Forgery (CSRF)

Cross-Site Request Forgery (CSRF), 또는 세션 라이딩이라고도 불리며, 악의적인 웹사이트나 이메일이 사용자를 유도하여 사용자가 인증된 다른 사이트에서 원치 않는 행동을 하게 만드는 사이버 보안 공격입니다. 이 공격은 사용자의 다른 사이트에서의 활성 세션을 악용하여 허가 받지 않은 명령을 실행하게 합니다. 예를 들어, 자금을 이체하거나 설정을 변경하는 등의 행동이 있습니다.

핵심 개념과 정의

CSRF는 사용자가 로그인해 있는 웹사이트와 사용자의 브라우저 간의 신뢰를 공격자가 악용할 수 있는 보안 취약성 유형입니다. 공격자는 사용자의 브라우저를 속여 사용자가 알거나 동의하지 않고 다른 웹사이트에 요청을 하게 만듭니다.

CSRF 공격을 실행하기 위해, 공격자는 일반적으로 사용자가 클릭하도록 유도하는 조작된 링크나 이메일을 보냅니다. 사용자가 링크를 클릭하거나 이메일과 상호작용하면, 사용자의 브라우저는 대상 웹사이트에 요청을 보내고, 사용자의 활성 세션을 이용하여 대상 웹사이트가 사용자를 대신해 어떤 행동을 수행하게 합니다.

악의적인 웹사이트나 이메일은 대상 웹사이트에서 자동으로 일을 일으키는 숨겨진 양식, 이미지, 또는 JavaScript 코드 등을 포함할 수 있습니다. 요청이 사용자의 브라우저에서 발생하기 때문에, 대상 웹사이트는 이를 정당한 요청으로 보고 사용자가 모르는 사이에 요청된 행동을 수행합니다.

CSRF 작동 방식

  1. 공격 설계: 공격자는 사용자에게 무해하거나 흥미로운 것으로 보이는 악의적인 링크나 이메일을 만듭니다. 이는 가짜 로그인 페이지나 인기 있는 서비스를 흉내 낸 웹사이트에 대한 링크를 포함할 수 있습니다.

  2. 사용자 상호작용: 사용자가 조작된 링크를 클릭하거나 악의적인 이메일과 상호작용합니다. 이는 사용자의 브라우저가 대상 웹사이트에 요청을 보내게 합니다.

  3. 활성 세션 악용: 사용자의 브라우저에서 보내는 요청에는 사용자의 세션 쿠키나 인증 자격증명이 포함됩니다. 사용자의 활성 세션 덕분에 대상 웹사이트는 요청을 합법적인 것으로 보고 공격자가 지정한 행동을 수행합니다.

  4. 원치 않는 행동: 대상 웹사이트는 사용자를 대신하여 계정 설정 변경, 사기 거래 실행, 심지어 사용자 데이터 삭제와 같은 행동을 수행합니다.

예방 팁

CSRF 공격은 해로울 수 있지만, 사용자가 위험을 줄이기 위해 취할 수 있는 여러 예방 조치가 있습니다:

  1. 웹 애플리케이션 방화벽: 웹 애플리케이션 방화벽 (WAF)을 배포하여 잠재적인 CSRF 공격을 탐지하고 필터링하는 데 도움이 될 수 있습니다. WAF는 들어오는 요청을 분석하고 의심스럽거나 승인되지 않은 요청을 차단할 수 있습니다.

  2. Anti-CSRF 토큰: 웹사이트 소유자는 CSRF 공격으로부터 보호하기 위해 Anti-CSRF 토큰을 구현할 수 있습니다. 이 토큰은 각 사용자 요청에 임베디드된 고유하고 검증 가능한 토큰입니다. 폼 제출이나 요청을 할 때, 토큰은 서버에서 예상한 값과 일치하는지 확인됩니다. 토큰이 없거나 잘못된 경우 서버는 요청을 거부합니다.

  3. 중요 계정 로그아웃: 중요 계정에 접근하거나 민감한 작업을 수행할 때는 로그아웃하거나 별도의 브라우저 세션을 사용하는 것이 좋습니다. 이렇게 하면 사용자의 활성 세션을 악의적인 웹사이트가 악용할 수 없으며 CSRF 공격의 위험이 줄어듭니다.

  4. 사용자 교육: 사이버 보안 모범 사례에 대한 사용자 인식과 교육을 촉진합니다. 사용자는 익숙하지 않거나 의심스러운 이메일의 링크를 클릭할 때 주의해야 합니다. 로그인 증명이나 민감한 작업을 수행하기 전에 웹사이트의 정당성을 확인하는 것이 중요합니다.

CSRF 공격 예시

  1. 은행 이체: 공격자가 프로모션이나 특별 제안으로 가장한 악의적인 링크를 사용자에게 보냅니다. 사용자가 링크를 클릭하면, 사용자의 브라우저는 사용자의 온라인 뱅킹 웹사이트에 요청을 보내고, 공격자의 계정으로 자금을 이체합니다.

  2. 설정 변경: 공격자가 사용자를 악의적인 웹사이트로 유도합니다. 사이트에는 사용자의 계정 설정을 다른 웹사이트에서 변경하는 숨겨진 양식이 포함되어 있을 수 있으며, 이는 사용자의 이메일 주소나 비밀번호를 변경하는 것과 같은 행위를 포함할 수 있습니다.

  3. 소셜 미디어 게시: 공격자가 사용자의 소셜 미디어 계정에 게시물을 자동으로 게시하는 웹사이트를 만듭니다. 사용자가 악의적인 웹사이트를 방문하면, 사용자의 인증된 소셜 미디어 계정에서 게시 행위가 발생합니다.

관련 용어

  • 세션 하이재킹: 세션 하이재킹은 공격자가 사용자의 활성 세션에 무단으로 접근하는 또 다른 유형의 공격입니다. 세션 쿠키나 세션 ID를 도용함으로써 공격자는 사용자를 가장하며 그들을 대신하여 행동을 수행할 수 있습니다.

  • Cross-Site Scripting (XSS): Cross-Site Scripting (XSS)는 CSRF와 유사한 공격으로, 다른 사용자가 보는 웹페이지에 악의적인 스크립트를 삽입하는 것입니다. XSS를 통해 공격자는 취약한 웹사이트의 컨텍스트에서 피해자를 대신하여 행동을 수행할 수 있습니다.

Get VPN Unlimited now!

other platforms