개인 사용자는 로그아웃과 안전한 이중 인증 필요
웹사이트 관리자는 Secure·HttpOnly 설정으로 보안 유지해야
알쓸보안사전은 보안뉴스 기자들이 ‘알아두면 쓸모있는’ 보안 용어들을 보다 쉽게 정리해 독자의 이해를 돕고 보안 지식을 넓혀줄 수 있는 코너입니다[편집자주]
[보안뉴스 박은주 기자] 항공기 납치 행위를 ‘하이재킹’이라 일컫는다. 2001년 이슬람 테러 단체 알 카에다가 주도한 911 테러가 하이재킹으로 일어난 대표적인 사고다. 사이버상에도 이와 비슷한 유형의 범죄가 있다. 웹사이트와 사용자 간 연결을 가로채는 ‘세션 하이재킹’이다.
[이미지=utoimage]
△이 주의 보안 용어
‘세션 하이재킹’을 시도하는 해커는 사이트와 이용자의 세션을 탈취한다. 세션은 사용자와 서버 간의 활성화된 일시적인 접속을 말하며, 로그인 상태를 예로 들 수 있다. 세션 하이재킹 공격에 성공하려면 미리 심어놓은 악성 스크립트를 이용해 피해자가 가지고 있는 세션을 파악해야 한다. 악성 스크립트를 심어 놓는 방법 중 하나로 ‘XSS 취약점’ 공격이 있다.
XSS 취약점 공격은 사용자가 이용하는 게시판이나 메일 등의 공간에 악의적인 스크립트를 삽입하는 것이다. 이를 바탕으로 웹사이트를 변조하거나 사용자의 쿠키, 개인정보를 빼앗아 간다. 해커는 훔친 세션을 이용해 본인이 이용자인 척 사용하는 것이 ‘세션 하이재킹’이다. 공격에 성공하면 해커는 이용자와 동일한 권한을 가지고 계정을 사용할 수 있게 된다.
△이런 일이 있었다
9.11테러 당시 납치된 비행기는 정상 항로에서 벗어나 테러범들의 뜻대로 뉴욕의 세계무역센터와 미국 국방부 펜타곤을 들이 받았다. 이처럼 이용 권한을 빼앗긴 계정 또한 공격자 마음대로 운용할 수 있게 된다. 이용자의 웹사이트에 함부로 접속해 광고 글을 게시하거나 이용자의 평판을 나쁘게 만드는 글을 게시하고 금전적인 피해를 끼칠 수도 있다.
2017년 국내의 숙박 예약 앱 ‘여기어때’에서 세션 하이재킹 등 사이버 공격으로 인한 개인정보 유출사고가 일어났다. 여기어때를 이용하는 고객의 개인정보 341만 건과 숙박 예약 현황 회원 및 가맹점 정보가 유출됐다. 경찰의 조사 결과 공격에는 웹페이지나 앱에서 전달하는 사용자의 입력 값을 바꿔 데이터베이스에 비정상적으로 접근하는 SQL 공격과 서비스 관리 페이지를 관리자 권한으로 우회 접속하는 세션 하이재킹이 사용된 것으로 드러났다. 해커들은 여기어때에 2차례 넘게 3억, 6억 원가량의 금전을 요구했다. 이에 여기어때가 응하지 않자 5천 명의 고객에게 ‘좋은 밤 보내셨냐’는 내용의 문자를 보내 개인정보 유출 사실을 공개했다.
△피해는 이렇게 막을 수 있다
세션 하이재킹 공격에 당하면 사용한 적 없는 흔적이 남아 있거나 비밀번호가 바뀌고, 지속적으로 계정이 탈취된다. 혹은 직접 작성하지 않는 게시글이 올라가고 광고, 무작위 사용을 이유로 계정 사용이 제한된다.
개인 사용자가 세션 하이재킹을 예방하는 방법은 의외로 간단하다. 바로 ‘로그아웃’이다. 해커는 세션 하이재킹 공격 시 사용자가 이용한 경험이 있는 세션을 활용한다. 로그아웃을 해 세션이 존재하지 않는다면 공격 요건이 갖춰지지 않는 것이다. 로그아웃은 세션을 끊어내는 빠르고 효과적인 방법이다. 실수로 로그아웃하지 않은 채 브라우저를 닫거나 PC를 종료하면 일부 서버에서는 사용 종료 사실을 파악할 수 없다. 브라우저는 닫혀 있지만 연결은 된 상태, 해킹하기 좋은 최적의 상태다. 따라서 웹사이트 이용을 마치면 즉시 로그아웃하는 습관이 필요하다.
세션 하이재킹 공격이 성공하면 해커는 사용자의 비밀번호를 변경하려 든다. 금융 관련 정보를 다루거나 관리자 권한이 주어진 중요 페이지에 접속할 때 이중 인증을 설정하는 게 보안을 유지하는 방법이다. 장소를 이동하거나 디바이스를 바꿔 로그인할 때 재인증을 거치는 방법이 있다. 번거롭지만 개인정보를 보호하고 안전을 지키는 방법이다.
또한, 보안이 검증되지 않은 웹사이트에 방문하지 않도록 하며 앱과 브라우저의 보안 설정을 강화하면 악성 프로그램 설치와 악성 스크립트 작동을 차단할 수 있다. 환경 설정의 평판 기반 보호에서 SMART Screen 설정을 켜두면 된다.
웹사이트 차원에서는 Secure·HttpOnly 설정을 통해 사이버 공격에 대응할 수 있다. 이는 HTTPS가 적용된 상태에서만 웹 애플리케이션이 쿠키 값을 브라우저에 전달할 수 있도록 한다. 제3자가 쿠키를 확인하거나 탈취하지 못하게 예방하는 것. Secure·HttpOnly 설정으로 XSS와 CRSF 등을 통한 취약점 공격을 막고 궁극적으로 세션 하이재킹을 예방할 수 있다.
[박은주 기자(boan5@boannews.com)]
[도움말=보안119]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>