🛡️ CSRF(Cross-Site Request Forgery): 나도 모르게 당하는 공격?! 🤔

왜 갑자기 CSRF 이야기를 꺼낼까?

오늘은 웹 애플리케이션 개발을 하면서 문득 생각이 들었습니다.
"내가 만든 서비스는 안전한가?"
이 질문을 시작으로 보안 관련 내용을 찾아보다가 CSRF(Cross-Site Request Forgery)라는 용어를 다시 한번 떠올리게 되었습니다.
사실 CSRF는 초보 개발자 때는 잘 와닿지 않지만, 실무에서는 매우 중요한 보안 이슈입니다. 그래서 이번 기회에 CSRF가 무엇인지, 그리고 이를 방어하는 방법에 대해 정리해보고자 합니다.

---

CSRF란? 🤔

CSRF(Cross-Site Request Forgery)는 사용자가 알지 못하는 사이에, 공격자가 사용자의 권한으로 특정 작업을 실행하도록 만드는 공격 기법입니다.
즉, 사용자가 의도하지 않은 요청을 강제로 실행하는 것이죠. 이를 통해 공격자는 금전 거래, 계정 변경, 민감 정보 노출 등을 유발할 수 있습니다.

CSRF 공격의 기본 구조 🛠️

1. 공격자가 악의적인 요청을 생성합니다.
   예를 들어, 공격자는 사용자의 은행 계좌에서 돈을 이체하는 요청을 만듭니다.

2. 사용자를 유인합니다.
   공격자는 이메일, 메시지, 광고 등을 통해 피해자가 링크를 클릭하거나 악성 코드를 실행하게 만듭니다.

3. 사용자의 권한으로 실행됩니다.
   피해자가 특정 웹사이트에 로그인된 상태라면, 공격자의 요청은 피해자의 권한으로 실행됩니다.

---

CSRF 공격 예시 💥

아래는 공격자가 만든 악의적인 HTML 코드입니다. 이 코드는 사용자가 로그인된 상태에서 실행될 경우, 피해자의 은행 계좌에서 공격자의 계좌로 돈을 이체합니다.

<img src="http://bank.com/transfer?account=attacker&amount=1000" width="0" height="0" />

어떻게 작동할까?

1. 피해자는 bank.com에 로그인되어 쿠키에 인증 정보가 저장되어 있습니다.
2. 피해자가 이 이미지를 포함한 이메일을 열거나 웹사이트를 방문하면, 브라우저는 자동으로 src URL을 요청합니다.
3. 요청이 실행되면서 피해자의 권한으로 공격자가 원하는 작업(여기서는 금전 이체)이 실행됩니다.

---

CSRF 방어 방법 🛡️

1. CSRF 토큰 사용

CSRF 방어에서 가장 일반적인 방법은 CSRF 토큰을 사용하는 것입니다.
각 요청마다 서버에서 생성된 고유 토큰을 포함시키고, 이를 서버에서 검증합니다.

예제 코드 (Java)

// 서버에서 CSRF 토큰 생성
String csrfToken = UUID.randomUUID().toString();
session.setAttribute("CSRF_TOKEN", csrfToken);

// HTML 폼에 CSRF 토큰 포함
<form action="/transfer" method="POST">
    <input type="hidden" name="csrf_token" value="${csrfToken}" />
    <input type="text" name="account" placeholder="Recipient Account" />
    <input type="number" name="amount" placeholder="Amount" />
    <button type="submit">Transfer</button>
</form>

// 서버에서 CSRF 토큰 검증
String tokenFromRequest = request.getParameter("csrf_token");
String tokenFromSession = session.getAttribute("CSRF_TOKEN");

if (!tokenFromSession.equals(tokenFromRequest)) {
    throw new SecurityException("Invalid CSRF token");
}

[이미지 삽입]

CSRF 토큰을 설명하는 다이어그램 (검색 키워드: "CSRF token flow diagram")

2. SameSite 쿠키 설정

쿠키에 SameSite 속성을 추가하면, 크로스 사이트 요청 시 쿠키가 전송되지 않도록 할 수 있습니다.
이 설정은 CSRF를 방어하는 간단하면서도 강력한 방법 중 하나입니다.

예제 코드 (HTTP 헤더 설정)

Set-Cookie: sessionId=abc123; SameSite=Strict

3. Referer 헤더 검증

요청 헤더의 Referer 값을 확인하여 요청이 신뢰할 수 있는 출처에서 왔는지를 검증할 수 있습니다.
다만, 일부 브라우저나 네트워크 환경에서는 Referer가 비워질 수 있으니, 보조적인 방법으로 사용됩니다.

4. CAPTCHA 사용

중요한 요청(예: 계정 비밀번호 변경, 금전 이체 등)에는 CAPTCHA를 사용하여, 사용자가 실제로 요청을 의도한 것임을 확인할 수 있습니다.

---

CSRF와 XSS의 차이점은? 🤔

CSRF와 XSS(Cross-Site Scripting)는 종종 혼동되지만, 그 작동 방식이 다릅니다:

• CSRF는 사용자가 신뢰하는 사이트에 대해 공격자가 요청을 보내는 것.
• XSS는 공격자가 신뢰받는 사이트에 악성 스크립트를 삽입하는 것.

공격 유형	주요 목표	사용자 개입 필요성
CSRF	권한 탈취 및 요청 조작	필요함
XSS	악성 스크립트 실행	필요 없음

[이미지 삽입]

CSRF와 XSS의 차이를 설명하는 표나 다이어그램 (검색 키워드: "CSRF vs XSS")

---

결론 🌟

CSRF는 간단한 공격처럼 보이지만, 그 영향은 심각할 수 있습니다.
적절한 방어 전략(예: CSRF 토큰, SameSite 쿠키 등)을 적용하면 이러한 공격을 효과적으로 방지할 수 있습니다.

여러분도 프로젝트에서 CSRF 방어를 철저히 적용해, 더욱 안전한 웹 서비스를 만들어 보세요! 🚀

---