교차 사이트 요청 위조

교차 사이트 요청 위조는 웹사이트의 취약점을 이용해 사용자가 의도하지 않은 요청을 다른 웹사이트에 전송하도록 하는 공격 방식이다. 이 공격은 사용자가 현재 로그인한 웹사이트의 권한을 도용하여 특정 웹 요청을 실행하는 것을 목표로 한다. 공격자는 피해자가 자신의 계정을 통해 비밀번호 변경, 송금, 게시글 작성 등의 작업을 수행하도록 유도할 수 있다.

이 공격은 사용자 인증 정보가 쿠키나 세션에 저장되어 있는 상태에서 발생한다. 사용자가 악의적인 링크를 클릭하거나 이메일 첨부 파일을 열거나, 조작된 웹페이지를 방문하면, 해당 페이지에 숨겨진 스크립트가 사용자의 브라우저를 통해 권한이 필요한 요청을 자동으로 전송한다. 이때 브라우저는 사용자의 인증 정보를 함께 보내기 때문에, 서버는 이를 정상적인 사용자 요청으로 인식하게 된다.

주요 방어 기법으로는 CSRF 토큰 사용, Referer 헤더 검증, 그리고 SameSite 쿠키 속성 사용 등이 있다. CSRF 토큰은 서버가 생성한 임의의 값을 폼에 포함시켜 요청의 유효성을 검증하는 방법이다. Referer 검증은 요청이 의도된 사이트에서 왔는지 출처를 확인하며, SameSite 속성은 쿠키가 동일 사이트의 요청에서만 전송되도록 제한한다.

이 공격은 웹 애플리케이션의 주요 보안 취약점 중 하나로 분류되며, 사용자에 대한 피싱이나 사회공학 기법과 결합되어 더 큰 피해를 야기할 수 있다. 따라서 웹 서비스 개발자는 인증이 필요한 모든 기능에 대해 적절한 방어 메커니즘을 구현하는 것이 필수적이다.

교차 사이트 요청 위조는 웹 취약점 공격의 일종으로, 공격자가 피해자의 웹 브라우저를 통해 권한이 필요한 요청을 위조하는 원리로 작동한다. 피해자는 자신의 권한으로 보호된 웹 애플리케이션에 로그인한 상태에서, 악의적인 링크나 이메일, 또는 공격 코드가 삽입된 웹페이지를 방문하게 된다. 이때 피해자의 브라우저는 해당 사이트에 저장된 인증 쿠키를 자동으로 함께 전송하게 되는데, 공격자는 이를 이용해 피해자의 권한으로 서버에 요청을 보낼 수 있다.

공격의 핵심은 사용자가 의도하지 않은 요청이 사용자의 인증 정보(주로 세션 쿠키)와 함께 정상적인 출처인 것처럼 서버에 전달된다는 점이다. 서버는 요청에 유효한 인증 정보가 포함되어 있기 때문에 이를 합법적인 사용자의 요청으로 판단하고, 비밀번호 변경이나 금융 거래, 데이터 수정과 같은 작업을 실행하게 된다. 이 과정에서 사용자는 자신의 권한으로 공격이 수행되고 있음을 전혀 인지하지 못하는 경우가 대부분이다.

이 공격이 성공하기 위해서는 몇 가지 조건이 충족되어야 한다. 첫째, 피해 대상 웹사이트가 사용자의 인증 상태를 쿠키나 기본 인증과 같은 자동으로 포함되는 메커니즘으로만 판단해야 한다. 둘째, 공격자가 위조하려는 요청의 모든 매개변수를 예측하거나 추측할 수 있어야 한다. 셋째, 피해자가 해당 사이트에 로그인한 상태여야 하며, 동시에 공격자가 준비한 악성 페이지를 방문해야 한다. 이러한 특성 때문에 교차 사이트 요청 위조는 소셜 엔지니어링 기법과 결합되어 사용되는 경우가 많다.

교차 사이트 요청 위조의 공격 유형은 공격자가 피해자의 권한을 이용해 수행하려는 악의적인 행위의 목적과 방식에 따라 다양하게 구분된다. 가장 일반적인 유형은 상태 변경 요청을 위조하는 것이다. 이는 게시판에 악성 댓글을 작성하거나, 온라인 뱅킹 서비스를 통해 무단 송금을 실행하거나, 웹메일 계정의 비밀번호를 변경하는 등 사용자의 데이터나 서비스 상태를 변조하는 공격에 해당한다. 이러한 공격은 주로 POST 메서드를 이용한 요청을 대상으로 한다.

또 다른 유형은 사용자의 개인 정보를 탈취하는 것을 목표로 한다. 예를 들어, 피해자가 로그인한 SNS나 웹 애플리케이션의 설정 페이지에 접근하여 이메일 주소나 전화번호 같은 민감한 정보를 공격자가 제어하는 서버로 전송하도록 요청을 위조할 수 있다. 이 경우 GET 요청을 악용하는 경우도 있다.

공격의 전달 방식에 따라서도 구분할 수 있다. 사용자가 악성 링크를 클릭하도록 유도하는 방식, 공격 코드가 삽입된 이미지 태그나 스크립트가 포함된 웹페이지(블로그 댓글, 포럼 게시글 등)를 방문하도록 하는 방식 등이 있다. 특히 소셜 엔지니어링 기법과 결합되어 피해자를 속이는 경우가 많다. 모든 유형의 공격은 사용자가 대상 사이트에 대한 유효한 인증 정보(주로 세션 쿠키)를 보유한 상태에서 이루어져야 성공 가능성이 있다.

교차 사이트 요청 위조를 방어하는 주요 기법은 사용자의 요청이 실제로 해당 웹사이트에서 의도된 정상적인 요청인지를 검증하는 데 초점을 맞춘다. 가장 대표적인 방어 방법은 CSRF 토큰을 사용하는 것이다. 이 방법은 사용자가 폼을 요청할 때 서버가 임의의 예측 불가능한 값을 생성하여 폼에 포함시킨 후, 사용자가 폼을 제출할 때 해당 값이 함께 전송되도록 한다. 서버는 제출된 요청에 이 토큰 값이 존재하고 유효한지 확인함으로써, 악의적인 사이트에서 생성된 요청을 차단할 수 있다.

또 다른 일반적인 방어 기법은 HTTP 요청 헤더의 Referer 필드를 검증하는 것이다. 이 방법은 요청이 어느 웹페이지에서 발생했는지 출처를 확인하여, 요청이 동일한 사이트 내에서 발생했는지 또는 신뢰할 수 있는 도메인에서 왔는지를 판단한다. 하지만 사용자의 브라우저 설정에 따라 Referer 정보가 전송되지 않을 수 있어, 이 방법만으로는 완벽한 보안을 보장하기 어렵다.

최근에는 쿠키에 SameSite 속성을 적용하는 방법이 널리 사용된다. 이 속성을 'Strict' 또는 'Lax'로 설정하면, 쿠키가 동일 사이트 내의 요청에서만 전송되도록 제한하여 교차 사이트 요청 위조 공격을 근본적으로 차단할 수 있다. 이는 웹 애플리케이션의 서버 측 코드를 수정하지 않고도 브라우저 수준에서 보안을 강화할 수 있는 실용적인 방법이다.

이러한 기술적 방어와 함께, 사용자에게 중요한 작업(예: 비밀번호 재입력 요구, 이중 인증 적용)을 수행하기 전에 추가 확인 단계를 도입하는 것도 효과적인 보조 수단이 될 수 있다. 이러한 다층적인 방어 전략을 통해 교차 사이트 요청 위조로 인한 피해를 크게 줄일 수 있다.

교차 사이트 요청 위조는 웹 애플리케이션의 특정 보안 취약점을 악용하여 발생한다. 이 공격이 성공하기 위해서는 공격 대상이 되는 웹사이트가 사용자의 인증 상태를 쿠키나 세션과 같은 자동으로 포함되는 정보만으로 판단하는 구조적 취약점을 가지고 있어야 한다. 또한, 해당 사이트가 사용자로 하여금 중요한 상태 변경을 수행하는 GET 요청을 허용하거나, POST 요청에 대해 충분한 검증 절차를 거치지 않는 경우에도 취약점이 노출된다.

이 공격 방식은 사이트 간 스크립팅과 함께 OWASP가 선정한 주요 웹 취약점 중 하나로 꼽힌다. 특히, 인증과 권한 부여 메커니즘이 취약한 웹 애플리케이션이나, 사용자 입력값에 대한 검증이 부족한 API를 통해 공격이 이루어질 수 있다. 은행이나 전자상거래 사이트처럼 사용자의 개인 정보나 자산에 직접적인 영향을 미치는 기능을 제공하는 서비스에서 이 취약점이 악용될 경우, 그 피해 규모가 매우 클 수 있다.

따라서 교차 사이트 요청 위조 취약점에 대한 대응은 단순한 기능 추가가 아닌, 웹 애플리케이션의 핵심 보안 설계 차원에서 접근해야 한다. 개발자는 모든 상태 변경 요청에 대해 출처를 확인할 수 있는 CSRF 토큰을 의무적으로 적용하고, HTTP 헤더의 Referer 검증을 강화하며, 최신 브라우저가 지원하는 SameSite 쿠키 속성을 적극 활용하는 등 다층적인 방어 전략을 수립해야 한다.

교차 사이트 요청 위조는 여러 실제 사이트에서 발견되어 심각한 보안 문제를 일으킨 바 있다. 한 유명한 사례로는 2008년 구글의 Gmail에서 발견된 취약점이 있다. 이 취약점을 통해 공격자는 피해자가 특정 악성 링크를 클릭하도록 유도하면, 피해자의 이메일 계정 설정을 변경하거나 필터링 규칙을 추가하는 등의 요청을 실행할 수 있었다. 이는 사용자의 쿠키를 악용한 전형적인 CSRF 공격이었다.

또 다른 주요 사례는 온라인 뱅킹 시스템을 대상으로 한 공격이다. 공격자는 피해자가 악성 코드가 삽입된 웹페이지를 방문하도록 유도하여, 사용자의 인증 정보를 이용해 은행 계좌에서 자금을 이체하는 요청을 은행 서버에 보냈다. 사용자는 자신의 계정에서 실제 이체 작업이 수행되는 것을 인지하지 못하는 경우가 많았다. 이와 유사한 공격은 소셜 네트워크 서비스나 관리자 페이지를 가진 다양한 웹 애플리케이션에서도 빈번히 보고되었다.

이러한 주요 사례들은 CSRF 공격이 단순한 불편을 넘어 사용자의 재산과 개인정보에 직접적인 피해를 줄 수 있음을 보여준다. 이로 인해 웹 개발자들은 CSRF 토큰 사용, Referer 헤더 검증, SameSite 쿠키 속성 적용 등의 방어 기법을 표준적으로 도입하게 되었다.

• OWASP - Cross-Site Request Forgery (CSRF)

• Mozilla Developer Network - Cross-Site Request Forgery (CSRF)

• PortSwigger - Cross-site request forgery (CSRF)

• Google Security Blog - Protecting against Cross-Site Request Forgery

• Microsoft Security - Cross-Site Request Forgery (CSRF) Attacks

• CWE - CWE-352: Cross-Site Request Forgery (CSRF)

• KISA - 웹 보안 취약점 점검 가이드 (CSRF)

• 국내 기술 블로그 - NHN Cloud - CSRF 공격과 방어 방법

• 국내 기술 블로그 - TOAST UI - 웹 보안: CSRF

• 국내 기술 블로그 - 우아한형제들 기술블로그 - CSRF와 CORS 개념 잡기