🔥 CSRF(Cross-Site Request Forgery)란?

🤔 "내가 클릭했을 뿐인데, 비밀번호가 바뀌었다?!"

얼마 전 팀원과 보안 관련 이야기를 나누다가 CSRF(Cross-Site Request Forgery, 크로스 사이트 요청 위조) 공격에 대한 흥미로운 사례를 들었습니다. 특히, 이메일을 이용한 CSRF 공격이 얼마나 위협적인지 알게 되었죠.

"사용자가 이메일로 받은 '긴급 계정 업데이트 필요!'라는 링크를 클릭했대. 그런데 그 순간 비밀번호가 변경되었고, 본인은 아무 조작도 안 했다고 하더라."

이 말을 듣고 저는 '이게 가능해?' 싶었는데, 알고 보니 CSRF 공격이 딱 이런 방식이더군요. 사실 이 공격은 오래전부터 알려진 유명한 공격이지만, 생각해보면 정말 똑똑한 방법이라는 생각이 들었습니다. 사용자의 신뢰를 이용해 브라우저가 자동으로 요청을 보내도록 설계된다는 점이 참 교묘하죠.

오늘은 CSRF가 어떻게 작동하는지, 그리고 이를 막는 방법까지 정리해 보겠습니다. 🚀

---

🎭 CSRF 공격이란?

CSRF 공격은 사용자가 의도하지 않은 요청을 특정 웹사이트에 보내도록 유도하는 공격 방식입니다. 보통 사용자가 로그인된 상태에서 악성 사이트를 방문하면, 공격자가 몰래 사용자 계정으로 조작된 요청을 보내는 방식으로 이루어집니다.

📌 CSRF 공격 예시

1️⃣ 피해자가 google.com에 로그인한 상태

사용자가 maeil-mail.com에 로그인하면, 서버는 세션 쿠키(Session Cookie)를 이용해 사용자를 인증합니다.

2️⃣ 공격자가 악성 사이트를 만들어 피해자를 유도

공격자는 사용자를 악성 사이트로 유도합니다. 예를 들어, "긴급: 귀하의 계정이 해킹 위험에 처해 있습니다! 즉시 비밀번호를 변경하세요."라는 이메일을 보냅니다. 사용자가 이메일 내 링크를 클릭하면, 악성 사이트로 이동하게 되고 그 순간 CSRF 공격이 시작됩니다.

3️⃣ 사용자가 악성 사이트를 방문하면 자동으로 요청 발생

악성 사이트에는 다음과 같은 코드가 포함되어 있을 수 있습니다:

<img src="https://google.com/member/changePassword?newValue=Hacked123" />

사용자가 이 페이지를 방문하는 순간, 브라우저는 자동으로 이 URL을 요청하게 됩니다.

4️⃣ 피해자의 세션 쿠키가 자동으로 전송됨

브라우저는 요청을 보낼 때 세션 쿠키를 자동으로 포함하므로, 서버는 "이 요청이 정상적인 사용자 요청이구나"라고 착각하게 됩니다.

✅ 결과: 피해자의 비밀번호가 자동으로 ![](https://velog.velcdn.com/images/sh1623/post/076646cc-d233-4e33-8301-ad22203112dd/image.png) Hacked123으로 변경됨 😱

---

🔒 CSRF 공격 방어 방법

이제 이 문제를 어떻게 막을 수 있을지 살펴볼까요?

🛡️ 1. CSRF 토큰 사용하기 (가장 강력한 방법!)

서버가 모든 요청에 대해 CSRF 토큰을 포함하도록 강제하면 공격자는 이를 우회하기 어려워집니다.

✔ CSRF 토큰 적용 방식:

• 서버는 폼을 렌더링할 때 랜덤한 CSRF 토큰을 생성하여 HTML 내부에 추가합니다.
• 사용자가 요청을 보낼 때, 이 토큰도 함께 전송해야 합니다.
• 서버는 요청을 받을 때 토큰이 유효한지 검증하고, 유효하지 않으면 요청을 차단합니다.

📌 CSRF 토큰을 활용한 HTML 예제

<form action="/update-profile" method="POST">
    <input type="hidden" name="csrf_token" value="randomToken1234" />
    <input type="text" name="username" />
    <button type="submit">Update</button>
</form>

📌 서버에서 CSRF 토큰 검증 (Java Spring 예제)

@PostMapping("/update-profile")
public ResponseEntity<?> updateProfile(@RequestParam String username,
                                       @RequestParam String csrfToken,
                                       HttpSession session) {
    String sessionToken = (String) session.getAttribute("csrf_token");
    if (!csrfToken.equals(sessionToken)) {
        return ResponseEntity.status(HttpStatus.FORBIDDEN).body("Invalid CSRF Token");
    }
    // 정상 처리
    return ResponseEntity.ok("Profile updated");
}

🛡️ 2. SameSite 쿠키 속성 설정하기

최근 브라우저에서는 쿠키의 SameSite 속성을 이용해 CSRF 공격을 막을 수 있는 기능을 제공하고 있습니다. 이를 설정하면 크로스 사이트 요청에서는 쿠키가 전송되지 않도록 제한할 수 있습니다.

📌 SameSite 설정 예제 (Spring Boot)

Cookie sessionCookie = new Cookie("SESSION_ID", sessionId);
sessionCookie.setHttpOnly(true);
sessionCookie.setSecure(true);
sessionCookie.setPath("/");
sessionCookie.setAttribute("SameSite", "Strict");

✔ Strict: 크로스 사이트 요청에서는 쿠키가 절대 전송되지 않음 (가장 안전!)
✔ Lax: 크로스 사이트 요청 중 GET 요청에서는 쿠키가 전송됨 (보통 기본값)
✔ None: 크로스 사이트에서도 쿠키 전송 허용 (보안 취약!)

🛡️ 3. Referer 헤더 검증하기

서버가 요청을 받을 때 Referer 헤더를 확인하여 신뢰할 수 있는 출처에서 왔는지 검사할 수도 있습니다. 하지만 이 방법은 헤더 조작이 가능하기 때문에 단독으로 사용하기엔 부족할 수 있습니다.

📌 Referer 검증 예제

String referer = request.getHeader("Referer");
if (referer == null || !referer.startsWith("https://maeil-mail.com")) {
    return ResponseEntity.status(HttpStatus.FORBIDDEN).body("Invalid Referer");
}

🛡️ 4. CORS 정책 강화하기

CORS(Cross-Origin Resource Sharing) 정책을 적절히 설정하면 외부 사이트에서 내부 API를 호출하지 못하도록 제한할 수 있습니다.

📌 Spring Boot에서 CORS 설정하기

@Configuration
public class CorsConfig {
    @Bean
    public WebMvcConfigurer corsConfigurer() {
        return new WebMvcConfigurer() {
            @Override
            public void addCorsMappings(CorsRegistry registry) {
                registry.addMapping("/**").allowedOrigins("https://maeil-mail.com");
            }
        };
    }
}

---

🎯 마무리

CSRF는 단순하지만 무섭게 치명적인 공격이 될 수 있습니다. 하지만 적절한 방어 기법을 사용하면 이를 충분히 막을 수 있습니다. 중요한 건, 다양한 보안 방법을 조합해서 사용하는 것!

✔ CSRF 토큰을 활용해 요청의 정당성을 확인하자.
✔ SameSite 쿠키 속성을 설정해 크로스 사이트 쿠키 전송을 막자.
✔ Referer 검증과 CORS 정책을 강화해 불필요한 요청을 차단하자.

이제 CSRF에 대해 조금 더 명확히 이해하셨을까요? 보안은 한순간 방심하면 큰 피해로 이어질 수 있습니다. 미리 대비해서 안전한 시스템을 만들어 갑시다! 🔥