소스코드 강화를 통한 CSRF 공격에 대한 방어

Abstract

CSRF는 웹 애플리케이션의 취약점을 이용하여 신뢰된 사이트에서 원하지 않는 행동을 수행하게 하는 공격방법이다. 이 공격은 <img> 태그나 <iframe> 태그의 속성 중 하나인 src 속성의 값을 정상적이지 않은 값으로 조작하여 그 조작된 요청을 서버에서 실행시키는 것이 주요한 목적이다. 이러한 공격은 웹 페이지에 포함되어 있는 <img> 태그나 <iframe> 태그가 특별한 검증과정 없이 그대로 자동으로 실행된다는 허점이 존재하여 가능해진다. 여러 보안 전문가들은 이러한 속성을 가진 CSRF 공격을 방어하기 위해서 현재 널리 사용되고 있는 방어방법들을 이용하여 방어를 시도하였다. 서버 측에서 방어하는 비밀인증토큰이나 참조헤더, 출처헤더 방법을 적용해 보았고 클라이언트 측에서 방어하는 SOP나 정책시행모델을 적용해보았다. 하지만 이러한 방법들은 일부만 효과가 있거나 때로는 전혀 CSRF를 방어하지 못하였다. 이에 본 논문에서는 효과적이며 근본적인 CSRF 방어의 방법으로 웹 애플리케이션의 소스코드 자체에 방어필터를 강화하여 CSRF 공격으로부터 효율적으로 사용자와 웹 서버를 보호하는 방안을 제안한다.