보안

CSRF(Cross-Site Request Forgery)

CSRF(Cross-Site Request Forgery)는 웹 애플리케이션에서 자주 발생하는 보안 취약점 중 하나로, 사용자의 인증 정보를 도용하여 원하지 않는 요청을 전송하게 만드는 공격 기법입니다. 이번 글에서는 CSRF의 개념, 동작 방식, 주요 특징과 실제 공격 시나리오, 그리고 방지 방법까지 자세히 설명드리겠습니다.

1. CSRF란 무엇인가?

CSRF는 사이트 간 요청 위조라고 번역되며, 사용자가 자신도 모르게 공격자가 의도한 요청을 웹 서버에 전송하도록 만드는 공격입니다. 이 공격은 주로 사용자가 이미 로그인 상태일 때 발생하며, 공격자는 사용자의 세션 쿠키를 활용하여 피해자 대신 서버에 악의적인 요청을 전송합니다.

즉, 사용자가 어떤 웹사이트에 로그인된 상태에서, 다른 악성 웹페이지를 방문하게 되면, 그 악성 페이지가 사용자를 대신해 원래 로그인된 사이트에 요청을 보내는 구조입니다.

2. CSRF 동작 방식

아래 그림은 CSRF의 일반적인 작동 흐름을 도식화한 것입니다.

✅ CSRF 구성도

시나리오 요약:

  1. 사용자가 신뢰된 웹사이트(A)에 로그인하여 세션이 유지됨 (예: 은행 사이트).
  2. 공격자가 만든 악성 사이트(B)를 사용자가 방문함.
  3. B 사이트가 사용자 브라우저를 통해 A 사이트로 악의적인 요청을 자동 전송함.
  4. A 사이트는 세션 쿠키를 통해 사용자가 보낸 요청으로 오인하고 요청을 처리함.
  5. 결과적으로 사용자의 의지와 무관하게 요청이 수행됨 (예: 송금, 비밀번호 변경 등).

3. CSRF의 주요 특징

  • 세션 기반 인증을 악용합니다.
  • 공격 성공을 위해 피해자가 로그인 상태여야 합니다.
  • 브라우저의 자동 쿠키 전송 기능을 이용합니다.
  • JavaScript 실행이 필요 없는 공격입니다 (순수 HTML로도 가능).
  • 사용자는 공격 사실을 인지하지 못하는 경우가 많습니다.

4. CSRF 공격 예시

예시 1: 계좌이체 공격

피해자가 bank.com에 로그인한 상태에서 이 코드를 포함한 웹사이트에 방문하면, 자동으로 공격자의 계좌로 송금 요청이 전송됩니다.

예시 2: POST 요청을 이용한 공격 (form auto-submit)

<form action="https://site.com/change-email" method="POST">
<input type="hidden" name="email" value="attacker@example.com" />
<input type="submit" />
</form>
<script>
document.forms[0].submit();
</script>

5. CSRF 방지 방법

5.1 CSRF Token 사용 (권장)

서버는 폼에 고유한 CSRF 토큰을 포함시켜, 클라이언트가 요청 시 반드시 이 토큰을 같이 보내도록 합니다. 서버는 이를 검증하여 유효한 요청인지 판단합니다.

  • 각 요청마다 난수 기반의 토큰을 발급
  • 세션에 저장하고 클라이언트에서 전달받은 값과 비교
  • 일치하지 않으면 요청 거부

5.2 SameSite 쿠키 설정

SameSite 속성을 Strict 또는 Lax로 설정하여 외부 사이트로부터의 쿠키 전송을 제한합니다.

Set-Cookie: sessionId=abc123; SameSite=Strict
  • Strict: 외부 도메인에서는 쿠키 전송 금지
  • Lax: GET 요청만 허용, 대부분의 CSRF 방어 가능

5.3 Referer 또는 Origin 검사

서버 측에서 요청 헤더의 Referer 또는 Origin 값을 확인하여, 자신의 도메인에서 보낸 요청인지 검증할 수 있습니다.

5.4 인증된 사용자에 대한 중요한 요청에 재인증 요구

민감한 작업(비밀번호 변경, 송금 등) 시 비밀번호 재입력 등의 추가 인증을 요구하는 방식도 효과적입니다.

6. 정리

항목설명
공격 대상로그인된 사용자 세션
공격 방식사용자가 의도하지 않은 요청을 전송하게 만듦
주요 특징세션 쿠키 자동 전송, 사용자 개입 없이 공격 가능
방어 방법CSRF 토큰, SameSite 쿠키, Referer/Origin 검사 등

CSRF는 브라우저의 기본 동작을 악용한 치명적인 공격이지만, 위에서 설명드린 여러 가지 방어 기법을 적절히 조합한다면 충분히 방어할 수 있습니다.

zerg96

Share
Published by
zerg96

Recent Posts

충격! 코스피 8% 폭락에 SK텔레콤 AI 차단까지 – 한국의 AI 도박이 터졌다

코스피 8% 폭락, 서킷브레이커 발동, SK텔레콤 Claude AI 차단까지. 한국의 AI 레버리지 버블이 단 하루…

2주 ago

당신 얼굴이 이미 쓰이고 있다… AI 딥페이크 범죄, 생각보다 훨씬 심각합니다

SNS 사진 1장으로 30초 만에 딥페이크 영상이 완성됩니다. 당신의 얼굴이 이미 범죄에 악용되고 있을 수…

3주 ago

당신 얼굴이 이미 쓰이고 있다 — AI 딥페이크 범죄, 생각보다 훨씬 심각합니다

SNS 사진 1장으로 30초 만에 딥페이크 영상이 완성됩니다. 당신의 얼굴이 이미 범죄에 악용되고 있을 수…

3주 ago

달러·원 환율 급등, 지금 당신이 꼭 알아야 할 것들

달러/원 환율이 급등하는 이유와 실생활 영향을 정리했습니다. 지금 당장 활용할 수 있는 환전·투자 대응 전략까지…

3주 ago

미래에셋·미래에셋벤처투자·미래에셋생명 동반 급등, 스페이스X와 무슨 관계?

미래에셋·미래에셋벤처투자·미래에셋생명이 동반 급등한 이유는 스페이스X 상장 기대감입니다. 세 회사가 스페이스X와 어떻게 연결되어 있는지 상세히 분석했습니다.

3주 ago

스페이스X 상장 D-데이? 일론 머스크가 절대 말 안 하는 진짜 이유

스페이스X 상장이 계속 미뤄지는 진짜 이유를 파헤쳤습니다. 화성 계획, 스타링크 분리, 국방 계약... 머스크가 절대…

3주 ago