061 | 인증보안 기초

🎈 HTTPS(Hyper Text Transfer Protocal Secure Socket layer)

HTTPS는 기존 HTTP에서 보안Secure이 강화된 것으로, HTTPS는 HTTP요청을 SSL 또는 TLS라는 알고리즘을 통해 암호화 하여 전송하는 프로토콜이다. 

HTTPS는 비대칭 암호화 키를 사용한다. 암호화 할때 사용된 키와 복호화 할때 사용된 키가 서로 달라 비대칭이라고 한다.

HTTPS는 2단계를 거쳐 암호화를 진행한다.

1. 암호화
2. 인증서

🧩 암호화

• HTTPS는 대칭키와 비대칭키를 모두 사용한다. 비대칭키를 이용하여 대칭키를 주고받은 후 주고받은 대칭키로 암호화를 한다. 비대칭 키는 2가지의 키를 갖고 있다.
  • 비밀키(private Key): 나만 갖고 있음
  • 공개키(public key): 공개적인 키
• 공개할 키, 나만 가질 키를 나누어 가지기 때문에 서버가 불특정 다수인 클라이언트에게 암호화된 데이터를 보낼 수 있는 장점이 있지만, 불특정 다수의 클라이언트가 서버로 데이터를 보내는 중 제3자가 정보를 탈취하더라도 서버만 가지고 있는 비밀키가 있어야만 공개키로 암호화된 데이터를 복호화 할 수 있다.
• 비밀키 암호화 → 공개키 복호화 || 공개키 암호화 → 비밀키 복호화로 비밀키와 공개키는 서로 암호화와 암호화에 대한 복호화를 수행할 수 있다.
• private key와 public key는 한 쌍이다. 누구나 가질 수 있는 public key 소유자는 private key로 암호화된 서버에서 받은 데이터 복호화가 가능하며, private key 소유자 (서버)는 public key로 암호화한 데이터 복호화가 가능하다. public key가 누구나 가지고 있을 수 있지만 사용하는 이유는 공개키가 데이터 제공자의 신원을 보장해 주기 때문이다.

🧩 인증서

• 서버를 보증할 수 있는 Certificate Authority(CA)는 엄격하게 공인된 기관들을 말한다. CA들은 서버의 공개키와 CA의 비밀키로 암호화된 인증서를 발급한다. CA의 비밀키로 암호화된 인증서를 CA의 공개키로 복호화하하면 CA에서 발급한 인증서를 보증할 수 있게 되고 접속할 서버의 공개키를 얻을 수 있다.
• 서버와 클라이언트 간 CA를 통해 서버를 인증하고 데이터를 암호화하는 프로토콜을 TLS 또는 SSL이라고 한다.

🎈 Hashing

Hashing은 어떤 문자열에 임의의 연산을 적용하여 다른 문자열로 변환하는 것이다. 해싱을 서비스에 적용할 때는 세 가지를 지켜야한다.

• 해시값을 해독(decoding)할 때는 많은 시간이 걸려야하지만 반대로 해시값을 만드는 데엔 오래걸리지 않아야한다.
• 해시 값들은 최대한 다른 해시 값을 피해야 하며, 모든 값은 고유한 해시 값을 가져야 한다. Hashing은 어떠한 수학적 연산(알고리즘)을 통해 입력받은 문자열을 다른 문자열로 반환해주기 때문에 극히 낮은 확률로 전혀 다른 문자열인데 똑같은 해시 값을 갖는 경우가 존재한다. 하지만 이러한 상황이 최대한 발생하지 않도록 하는 알고리즘들이 이미 배포되어있기 때문에 사용이 가능하다.
• 문자열에 아주 작은 단위의 변경이 있더라도 반환되는 해시값은 완전히 다른 값을 가져야 한다.

🎈 Cookie

🧩  Domain

• 도메인은 서버에 접속할 수 있는 이름으로, 쿠키 옵션에서는 포트 및 서브 도메인 정보, 세부 경로를 포함하지 않는다.쿠
• 키 옵션에 도메인 정보가 존재한다면 클라이언트에서는 쿠키의 도메인 옵션과 서버의 도메인이 일치해야만 쿠키를 전송할 수 있다.

🧩 Path

path의 옵션값으로 설정된 경로가 URL에 포함되면 서버에 쿠키를 전송할 수 있다.

path의 옵션 값이 /users면 /users/login은 실행 되지만 /user/login이면 실행되지 않는다.

 

🧩 MaxAge, Expire

쿠키의 유효기간을 정하는 옵션으로, 일정 기간을 정해두고 해당 기간이 만료된다면 자동으로 삭제될 수 있도록 한다.

MaxAge는 몇 초동안 쿠키가 유효할 것인지 정하는 옵션이고, Expires는 쿠키가 언제까지 유효할지 Date를 지정한다.(클라이언트 기준)

• 세션 쿠키: MaxAge 또는 Expires옵션이 없는 쿠키로 브라우저 종료시 자동 삭제된다.
• 영속성 쿠키: 브라우저 종료 여부와 상관없이 MaxAge 또는 Expires에 지정된 유효시간 만큼 사용가능하다.

🧩 Secure

프로토콜에 따라 쿠키 전송여부를 결정한다. Secure 옵션이 true일 때 HTTPS 프로토콜로 통신하는 경우에는 쿠키를 전송하지만 옵션이 없다면 프로토콜에 상관 없이 쿠키를 전송한다.

 

🧩 HttpOnly

자바스크립트에서 브라우저의 쿠키에 접근여부를 결정한다.

• 옵션이 true인 경우 자바스크립트에서 쿠키에 접근이 불가하다. true지정 시 HTTP로만 접근할 수 있도록 설정하는 옵션이 HttpOnly이다.
• 기본 설정은 false이지만 자바스크립트에서 <script> 태그로 접근이 가능해서 XSS공격에 취약하다.

🧩 SameSite

same-site는 요청을 보낸 Origin과 서버의 도메인, 프로토콜, 포트가 같은 경우를 말한다. 이 중 하나라도 다르다면 Cross-Origin으로 구분된다. Cross-Origin 요청을 받은 경우 요청에서 사용한 메소드와 해당 옵션(e.g. GET, POST, PUT, PATCH …)의 조합으로 서버의 쿠키 전송 여부를 결정한다.

• SameSite 옵션
  • LAX: Cross-Origin 요청은 GET메서드에 대해서만 쿠키를 전송할 수 있다.
  • STRICT: Cross-Origin 요청은 거절하고 SameSite인 경우에만 쿠키를 전송한다.
  • None: HTTPS 프로토콜에서만 Cross-Origin 요청에 항상 쿠키를 전송할 수 있다.

🧩 Session

1. 서버는 인증(Authentication)에 성공했다고 판단되면 암호화된 세션아이디를 쿠키에 담아서 서버 → 클라이언트에게 전달한다.
2. 로그인으로 인증에 성공하면 클라이언트는 가지고 있던 세션아이디를 신분증 처럼 사용해서 다시 로그인 할 필요 없이 필요한 작업을 수행한다.
3. 서버는 세션아이디를 확인하고 작업을 업데이트 한다. 업데이트 후 세션아이디를 통해 클라이언트에 결과 응답을 전달한다.

🧩 로그아웃

• 서버: 세션 정보를 삭제해야 한다.
• 클라이언트: 쿠키를 갱신해야 한다.

🎈 웹 보안 공격

🧩 SQL Injection

데이터베이스에서 임의의 SQL문을 실행할 수 있도록 명령어를 삽입하는 공격 유형으로, 응용 프로그램의 보안상의 허점을 이용해 데이터베이스를 비정상적으로 조작하며, 기록이 삭제되거나 데이터가 유출될 수 있다.

• SQL Injection 대처법
  • 입력(요청) 값 검증
    블랙리스트가 아닌 화이트리스트 방식(기본 정책이 모두 차단인 상황에서 예외적으로 접근이 가능한 대상)으로 해당 키워드가 들어오면 다른 값으로 바꿔 SQL Injection에 대응할 수 있다.
    
  • Prepared Statement 구문 사용
    사용자의 입력 값이 전달 되기 전에 데이터베이스가 미리 컴파일하여 SQL을 바로 실행하지 않고 대기하며, 사용자의 입력값을 단순 텍스트로 인식해서 입력 값이 SQL문이 아닌 단순 텍스트로 적용되어 공격에 실패하게 된다.
    
  • Error Message 노출 금지
    

 

🧩 CSRF(Cross Site Request Forgery)

Cross-Origin에서 유저가 보내는 요청을 조작한다. 출처가 달라 직접 데이터에는 접근할 수 없다. 쿠키를 사용하여 로그인할 때, 또 요청이나 파라미터가 예측가능할 때 공격할 수 있다. 

• CSRF 대처법
  • CSRF 토큰을 유저의 브라우저와 웹 앱에만 제공하여 조합으로 생성된 요청에만 성공적으로 응답한다.
  • Same-site 쿠키옵션을 이용하여 같은 사이트에서만 응답하게 한다.