애플리케이션 보안 4

1) HTTP 쿠키 (Cookie)

정의

: 웹 서버가 사용자의 브라우저에 저장하는 작은 데이터 파일로, 사용자 식별 및 상태 정보를 유지하기 위해 사용되는 기술

쿠키 특징

• HTTP는 기본적으로 Stateless(상태 비저장) 프로토콜이기 때문에 사용자 상태 유지가 어려움
• 이를 해결하기 위해 쿠키를 사용하여 로그인 상태나 사용자 정보를 유지
• 브라우저에 저장되며 서버 요청 시 HTTP Header에 자동 포함되어 전송
• 광고 추적, 사용자 행동 분석, 로그인 유지 등에 활용

보안 이슈

• 쿠키 탈취(Cookie Hijacking) → 세션 가로채기 공격 가능
• XSS 공격을 통해 쿠키 탈취 가능
• HTTPS 미사용 시 네트워크 스니핑으로 쿠키 노출 가능

보안 대응

• HttpOnly 옵션 → JavaScript에서 쿠키 접근 차단
• Secure 옵션 → HTTPS 환경에서만 쿠키 전송
• SameSite 옵션 → CSRF 공격 방지
• 민감한 정보는 쿠키 대신 세션 또는 토큰 기반 인증 사용

개인정보 보호 정책

• 유럽 GDPR
  • 필수 / 기능 / 광고 쿠키 사용자 선택 동의 필요
• 국내
  • 개인정보 처리방침 내 자동 수집 장치 항목으로 고지하는 수준이 일반적

2) HTTP 헤더 (HTTP Header)

정의

: HTTP 요청과 응답에 포함되는 메타데이터 정보

주요 헤더 정보

User-Agent

• 사용자의 브라우저, 운영체제(OS), 디바이스 정보 포함
• 반응형 웹 설계 및 브라우저 호환성 처리에 사용

보안 관점

• 공격자는 User-Agent 정보를 통해
  • OS 종류
  • 브라우저 버전
  • 취약한 환경 여부
    등을 파악하여 공격을 시도할 수 있음

3) HTTP 상태 코드 (Status Code)

정의

: 서버가 요청에 대해 어떤 상태로 응답했는지를 나타내는 코드

주요 상태 코드

코드의미

200	요청 성공
301 / 302	리다이렉트
403	접근 거부
404	페이지 없음
500	서버 내부 오류

보안 이슈

• 상세한 오류 메시지 노출 시
  • 서버 구조
  • 사용 기술
  • 파일 경로
    등이 노출될 수 있음

보안 대응

• Custom Error Page 사용
• 내부 오류 메시지 노출 금지
• 서버 정보 숨김(Server Header 제거)

4) 시간 동기화 (Time Synchronization)

정의

: 여러 시스템의 시간을 동일하게 유지하여 로그 분석 및 보안 이벤트 분석 정확도를 확보하는 기술

주요 기술

• NTP (Network Time Protocol)
• 전 세계 서버 시간을 동기화하는 표준 프로토콜

표준 시간

• UTC (Coordinated Universal Time)
• 한국 표준시: UTC +9

보안 중요성

• 침해 사고 분석 시 로그 시간 일치 필수
• 서버 간 시간이 다르면 포렌식 분석 불가능

5) 안티 포렌식 (Anti-Forensics)

정의

: 공격자가 자신의 흔적을 숨기기 위해 로그 또는 시스템 정보를 조작하는 행위

주요 기법

• 로그 삭제
• 시스템 시간 조작
• 악성코드 은닉
• 파일 타임스탬프 조작

대표 사례

• 시스템 시간을 1970년 1월 1일(Epoch Time) 로 변경하여 로그 분석 방해

대응 방법

• 로그 서버 별도 운영
• 중앙 로그 서버(SIEM) 구축
• 로그 무결성 검증

6) DDoS 공격 (Distributed Denial of Service)

정의

: 여러 시스템을 이용해 대량의 트래픽을 발생시켜 서버 서비스를 마비시키는 공격

특징

• 정상 트래픽과 구분이 어려움
• 서비스 가용성(Availability)을 공격

주요 방어 방법

• CDN 기반 트래픽 분산
• 클라우드 보안 서비스 활용

대표 서비스

• AWS Shield
• Azure DDoS Protection
• Google Cloud Armor
• Cloudflare

7) IDS / IPS / WAF

IDS (Intrusion Detection System)

정의

: 네트워크 트래픽을 분석하여 침입을 탐지하는 시스템

특징

• 탐지만 수행
• 관리자에게 경고 알림

IPS (Intrusion Prevention System)

정의

: 네트워크 공격을 실시간으로 탐지하고 차단하는 시스템

특징

• 탐지 + 차단 기능
• 네트워크 인라인 장비로 설치

WAF (Web Application Firewall)

정의

: 웹 애플리케이션 공격(SQL Injection, XSS 등)을 방어하는 보안 장비

주요 방어 공격

• SQL Injection
• XSS
• File Upload 공격
• Directory Traversal

배치 위치

Internet
↓
DDoS Protection
↓
Firewall
↓
IPS
↓
WAF
↓
Web Server

 

8) DMZ (Demilitarized Zone)

정의

: 외부 인터넷과 내부망 사이에 위치하는 중간 보안 영역

목적

• 외부 접근 서비스 보호
• 내부 네트워크 보호

일반적인 구조

Internet
↓
Firewall
↓
DMZ
(Web Server)
↓
Internal Network
(WAS / DB)

 

특징

• 웹 서버는 DMZ에 위치
• 데이터베이스는 내부망에 위치
• 외부 사용자가 내부망 직접 접근 불가

9) CDN (Content Delivery Network)

정의

: 사용자와 가까운 서버에서 콘텐츠를 제공하여 속도와 안정성을 향상시키는 네트워크

특징

• 캐시 서버 기반
• 트래픽 분산
• 대규모 서비스 안정성 확보

대표 서비스

• Cloudflare
• AWS CloudFront
• Akamai

10) Load Balancer (로드밸런서)

정의

: 여러 서버로 트래픽을 분산하여 서비스 부하를 줄이는 장치

종류

L4 Load Balancer

• TCP/UDP 기반
• 빠른 처리 속도
• 패킷 내용 분석 불가

L7 Load Balancer

• HTTP/HTTPS 기반
• URL, 쿠키 기반 분산 가능
• TLS Termination 지원

GSLB

• DNS 기반 글로벌 트래픽 분산

11) 파일리스 악성코드 (Fileless Malware)

정의

: 파일을 생성하지 않고 시스템 내장 도구(PowerShell 등)를 이용해 실행되는 악성코드

특징

• 탐지 어려움
• 메모리 기반 실행
• 기존 보안 솔루션 우회

주요 활용 도구

• PowerShell
• WMI
• Windows Script Host

12) 인증 방식 비교

쿠키	브라우저에 저장	탈취 위험
세션	서버 저장 방식	비교적 안전
토큰	JWT 기반 인증	API 환경에 적합

13) CAPTCHA

정의

: 사람이 실제 사용자임을 확인하기 위한 인증 기술

종류

기존 CAPTCHA

• 이미지 문자 입력

reCAPTCHA v3

• 사용자 행동 분석 기반
• 별도 입력 없음

14) CDN + LB + WAF 통합 보안 구조

현대 웹 서비스는 다음과 같은 다계층 보안 구조를 사용한다.

User
↓
CDN
↓
Load Balancer
↓
WAF
↓
Web Server
↓
WAS
↓
Database

 

특징

• 트래픽 분산
• 웹 공격 차단
• 서비스 안정성 확보