T
security cors csp xss csrf web-dev

웹 보안 헤더 및 공격 가이드: CORS, CSP, XSS 및 CSRF

웹 애플리케이션을 일반적인 위협으로부터 보호하세요. XSS 및 CSRF 공격을 방어하기 위해 CSP 및 HSTS와 같은 보안 헤더를 구현하는 방법을 알아봅니다.

2026-04-11

웹 보안 헤더와 주요 공격: 포괄적 가이드

현대적인 웹 애플리케이션을 보호하려면 다계층 접근 방식이 필요합니다. 트래픽을 필터링하는 네트워크 계층의 방화벽부터 브라우저의 동작을 지시하는 애플리케이션 계층의 보안 헤더까지, 각 계층은 중요한 역할을 합니다. 이 가이드에서는 가장 일반적인 웹 공격을 방어하는 데 필요한 필수 도구와 헤더를 살펴봅니다.

1. 네트워크 계층 방어: 방화벽 및 침입 방지

첫 번째 방어선은 종종 서버 수준에 있습니다. 방화벽 및 침입 방지 시스템과 같은 도구는 들어오는 트래픽을 모니터링하고 악의적인 공격자가 애플리케이션에 도달하기 전에 차단합니다.

방화벽 도구: iptables, nftables 및 ufw

  • iptables: IPv4 패킷 필터링 및 NAT를 관리하기 위한 전통적인 Linux 방화벽 도구입니다. '체인'과 '규칙'을 사용하여 들어오는 패킷의 처리 방식을 결정합니다.
  • nftables: iptables의 현대적인 후속 도구로, 더 효율적이고 유연한 구문을 제공합니다. IPv4와 IPv6 모두를 위한 통합 프레임워크를 제공합니다.
  • ufw (Uncomplicated Firewall): iptables/nftables를 관리하기 위한 사용자 친화적인 인터페이스입니다. Ubuntu의 기본 방화벽 구성 도구이며, 간단하고 관리하기 쉬운 규칙을 원하는 개발자에게 적합합니다.

fail2ban

fail2ban은 무차별 대입 공격(Brute-force)으로부터 서버를 보호하는 침입 방지 소프트웨어입니다. 로그 파일을 스캔하여 반복적인 로그인 실패 시도를 찾고, 지정된 기간 동안 해당 IP 주소를 '차단'하도록 방화벽 규칙을 업데이트합니다.

2. 필수 웹 보안 헤더

보안 헤더는 브라우저에 사이트 콘텐츠를 처리하는 방법을 알려주는 HTTP 응답 헤더입니다. 이는 많은 유형의 공격을 완화하는 강력하고 비용 효율적인 방법입니다.

CSP (Content Security Policy)

CSP는 가장 중요한 보안 헤더 중 하나입니다. 신뢰할 수 있는 콘텐츠(스크립트, 스타일, 이미지)의 소스를 지정할 수 있습니다. 스크립트 로드 위치를 제한함으로써 CSP는 **XSS (Cross-Site Scripting)**에 대한 주요 방어 수단이 됩니다.

HSTS (HTTP Strict Transport Security)

HSTS는 브라우저가 웹사이트를 HTTPS를 통해서만 접속하도록 지시합니다. 이는 'SSL 스트리핑' 공격을 방지하고 모든 통신이 암호화되도록 보장합니다.

SRI (Subresource Integrity)

SRI는 브라우저가 가져온 리소스(예: CDN의 리소스)가 예기치 않은 조작 없이 전달되었는지 확인할 수 있게 해주는 보안 기능입니다. 암호화 해시를 사용하여 파일의 무결성을 보장합니다.

CORS (Cross-Origin Resource Sharing)

엄격하게 보안을 '추가'하는 헤더는 아니지만, CORS는 웹 페이지의 제한된 리소스를 해당 리소스가 제공된 도메인 밖의 다른 도메인에서 요청할 수 있게 하는 메커니즘입니다. 무단 데이터 액세스를 방지하려면 CORS를 올바르게 구성하는 것이 필수적입니다.

3. 주요 공격 이해 및 완화

XSS (Cross-Site Scripting - 교차 사이트 스크립팅)

XSS는 공격자가 신뢰할 수 있는 웹사이트에 악성 스크립트를 주입할 때 발생합니다. 이는 쿠키, 세션 토큰 또는 민감한 정보를 훔치는 데 사용될 수 있습니다.

  • 방어: CSP 사용, 사용자 입력 삭제(sanitize), 브라우저에서 렌더링하기 전 데이터 인코딩.

CSRF (Cross-Site Request Forgery - 교차 사이트 요청 위조)

CSRF는 인증된 사용자가 현재 로그인된 웹 애플리케이션에서 원치 않는 작업을 실행하도록 강제하는 공격입니다.

  • 방어: 안티 CSRF 토큰 사용, SameSite 쿠키 속성, Origin 또는 Referer 헤더 확인.

SSRF (Server-Side Request Forgery - 서버 측 요청 위조)

SSRF 공격에서 공격자는 서버의 기능을 악용하여 내부 리소스를 읽거나 업데이트할 수 있습니다. 공격자는 서버 애플리케이션이 요청을 보낼 URL을 제공할 수 있습니다.

  • 방어: 사용자 제공 URL 유효성 검사, 발신 요청에 대한 허용 목록(allowlist) 사용, 애플리케이션 서버에서 내부 네트워크 액세스 제한.

결론

웹 보안은 지속적인 개선과 모니터링의 과정입니다. ufwfail2ban과 같은 강력한 네트워크 수준 도구와 CSP, HSTS와 같은 강력한 애플리케이션 수준 헤더를 결합하면 애플리케이션의 공격 표면을 크게 줄일 수 있습니다. 최신 정보를 유지하고, 도구를 업데이트하며, 항상 사용자 데이터의 보안을 최우선으로 하십시오.

블로그로 돌아가기