보안 용어집: 사이버 보안

사이트 간 요청 위조(CSRF) 공격

사이트 간 요청 위조(CSRF) 공격

XSRF, Sea Surf 또는 Session Riding으로도 알려진 CSRF(교차 사이트 요청 위조)는 웹 애플리케이션이 사용자 브라우저에 갖고 있는 신뢰를 악용하는 사이버 공격 유형입니다. 이는 악성 웹사이트나 이메일이 사용자의 브라우저를 속여 사용자가 인증된 다른 웹사이트에서 원치 않는 작업을 실행할 때 발생합니다. 이로 인해 무단 자금 이체, 비밀번호 변경, 세션 쿠키 도난을 포함한 데이터 도난 등 다양한 불리한 결과가 발생할 수 있습니다.

CSRF 공격에서 공격자는 대상 웹 애플리케이션에 합법적인 것처럼 보이는 요청을 작성합니다. 그런 다음 이 요청은 대상 사이트에서 이미 인증된 피해자의 브라우저에서 전송됩니다. 애플리케이션은 사용자의 합법적인 요청과 공격자의 위조된 요청을 구별할 수 없기 때문에 악의적인 요청을 유효한 요청인 것처럼 처리합니다. 공격은 요청과 함께 쿠키나 인증 토큰과 같은 자격 증명을 자동으로 포함하는 사용자의 브라우저에 의존합니다.

CSRF 공격은 피싱 이메일을 보내거나 합법적인 것처럼 보이는 웹 사이트에 악성 링크를 삽입하는 등의 사회 공학 기술을 통해 수행되는 경우가 많습니다. 사용자가 링크를 클릭하거나 악성 콘텐츠와 상호 작용하면 사용자가 알지 못하거나 동의하지 않은 채 위조된 요청이 대상 애플리케이션으로 전송됩니다.

CSRF 공격의 위험을 완화하기 위해 웹 개발자는 다양한 보안 조치를 구현할 수 있습니다. 일반적인 접근 방식 중 하나는 양식에 포함되고 각 요청마다 서버에서 확인되는 고유하고 무작위로 생성된 값인 안티 CSRF 토큰을 사용하는 것입니다. 이렇게 하면 요청이 타사 사이트가 아닌 애플리케이션 자체 인터페이스에서 시작됩니다. 또한 쿠키에 "SameSite" 속성을 설정하면 쿠키 사용을 자사 컨텍스트로 제한하여 CSRF 공격 위험을 줄일 수 있습니다.

전반적으로 CSRF 공격을 이해하고 방어하는 것은 웹 애플리케이션의 보안과 무결성을 유지하고 사용자의 민감한 정보를 보호하는 데 필수적입니다.