웹 구조와 HTTP 보안

시스템보안 = 서버와 운영체제를 지키는 영역
네트워크보안 = 데이터가 이동하는 통신 경로를 지키는 영역
어플리케이션보안 = 웹사이트, 앱, API, DB 연동 기능을 지키는 영역

SQL Injection
XSS
CSRF
인증과 인가
세션 관리
쿠키 보안
파일 업로드 취약점
접근통제 취약점
시큐어 코딩

쇼핑몰
인터넷뱅킹
회사 그룹웨어
관리자 페이지
게시판
로그인 시스템
모바일 앱 API
예약 시스템
결제 시스템

사용자 입력값을 신뢰해도 되는가?
로그인한 사용자가 정말 그 사람인가?
그 사용자가 해당 기능을 사용할 권한이 있는가?
중요 정보가 암호화되어 전송되는가?
세션과 쿠키가 안전하게 관리되는가?
웹 서버와 DB가 불필요한 정보를 노출하지 않는가?

사용자 브라우저
→ 인터넷
→ 웹 서버
→ 애플리케이션 서버
→ DB 서버
→ 응답 반환

1. 사용자가 로그인 화면에서 아이디와 비밀번호 입력
2. 브라우저가 서버로 HTTP 요청 전송
3. 서버가 입력값을 확인
4. DB에서 사용자 계정 정보 조회
5. 인증 성공 시 세션 생성
6. 브라우저에 세션 쿠키 전달
7. 이후 요청마다 쿠키를 보내 로그인 상태 유지

웹 브라우저
모바일 앱
API 호출 프로그램
사용자 PC

클라이언트 입력값은 신뢰하면 안 된다.

로그인 처리
권한 확인
DB 조회
결제 처리
파일 업로드 처리
응답 생성
로그 기록

중요한 검증은 반드시 서버에서 수행해야 한다.

HTTP는 웹에서 클라이언트와 서버가 요청과 응답을 주고받기 위한 응용 계층 프로토콜이다.

HTTP = 브라우저와 웹 서버가 대화하는 규칙

클라이언트가 요청한다.
서버가 응답한다.

브라우저: /login 페이지 요청
서버: 여기 로그인 페이지입니다.

HTTP는 무상태 프로토콜이다.

요청 라인
헤더
본문

POST /login HTTP/1.1
Host: example.com
User-Agent: Chrome
Content-Type: application/x-www-form-urlencoded
Cookie: sessionid=abc123

id=user01&password=pass1234

URL
Query String
Header
Cookie
Body
File Upload

상태 라인
헤더
본문

HTTP/1.1 200 OK
Content-Type: text/html
Set-Cookie: sessionid=abc123; HttpOnly; Secure

<html>
로그인 성공
</html>

상태코드
Set-Cookie
보안 헤더
오류 메시지
응답 본문

POST라고 해서 자동으로 안전한 것은 아니다.
민감정보 전송에는 반드시 HTTPS가 필요하다.

GET은 주로 데이터 조회에 사용되며 요청 데이터가 URL에 포함될 수 있어 민감정보 전송에 부적절하다. POST는 요청 본문에 데이터를 포함하여 전송이나 등록 처리에 사용되지만, 암호화가 보장되는 것은 아니므로 로그인 정보나 개인정보 전송 시 HTTPS를 적용해야 한다.

/search?keyword=security&page=1

keyword=security
page=1

URL에 민감정보를 넣으면 로그, 브라우저 기록, 프록시 기록 등에 남을 수 있다.

/login?id=user01&password=1234

{
  "id": "user01",
  "password": "pass1234"
}

HTTP라면 Body도 평문으로 전송될 수 있다.

401 = 인증 필요
403 = 권한 없음
404 = 없음
500 = 서버 오류

User-Agent 조작
Referer 조작
X-Forwarded-For 조작
Authorization 토큰 탈취
Cookie 탈취

HttpOnly
Secure
SameSite

쿠키는 서버가 클라이언트 브라우저에 저장하도록 전달하는 작은 데이터로, 이후 요청 시 브라우저가 서버로 함께 전송하여 사용자 식별이나 상태 유지에 활용된다.

Set-Cookie: sessionid=abc123

Cookie: sessionid=abc123

세션 쿠키 보호를 위해 HttpOnly 속성으로 스크립트 접근을 제한하고, Secure 속성으로 HTTPS에서만 전송되도록 설정해야 한다. 또한 SameSite 속성을 적용하여 다른 사이트에서 발생한 요청에 쿠키가 자동 전송되는 것을 제한함으로써 CSRF 위험을 줄일 수 있다.

세션은 서버가 사용자별 상태를 유지하기 위해 생성·관리하는 정보이며, 일반적으로 클라이언트는 세션 ID를 쿠키로 전달하여 서버가 사용자를 식별한다.

1. 사용자가 로그인 정보를 입력한다.
2. 서버가 인증을 수행한다.
3. 인증 성공 시 서버가 세션을 생성한다.
4. 서버가 세션 ID를 쿠키로 전달한다.
5. 브라우저는 이후 요청마다 세션 ID를 전송한다.
6. 서버는 세션 ID를 확인해 사용자 상태를 유지한다.

쿠키는 클라이언트에 저장되고, 세션은 서버에서 사용자 상태를 관리한다.

세션 보안을 위해 예측 불가능한 세션 ID를 사용하고, 로그인 성공 후 세션 ID를 재발급하여 세션 고정 공격을 방지해야 한다. 또한 HTTPS, HttpOnly·Secure·SameSite 쿠키 설정, 세션 타임아웃, 로그아웃 시 세션 폐기, 중요 기능 재인증 등을 적용해야 한다.

인증은 사용자가 주장하는 신원이 실제로 맞는지 확인하는 절차이다.

인증 = 너 누구야?

비밀번호 + OTP
비밀번호 + 인증서
비밀번호 + 지문

MFA는 지식, 소유, 생체 등 서로 다른 인증 요소를 2개 이상 결합하여 계정 탈취 위험을 줄이는 인증 방식이다.

인가는 인증된 사용자가 허용된 권한 범위 내에서 자원이나 기능에 접근할 수 있도록 통제하는 절차이다.

인가 = 너 이거 해도 돼?

/admin/users

/user/profile?id=100
/user/profile?id=101

서버는 모든 요청마다 인증과 인가를 확인해야 한다.

웹 애플리케이션은 로그인 여부뿐 아니라 사용자가 해당 자원이나 기능에 접근할 권한이 있는지 서버 측에서 매 요청마다 검증해야 한다. 권한 검증이 누락되면 일반 사용자가 관리자 기능이나 타인의 개인정보에 접근하는 접근통제 취약점이 발생할 수 있다.

HTTPS는 TLS를 이용하여 HTTP 통신을 암호화함으로써 클라이언트와 서버 간 데이터의 기밀성, 무결성, 서버 인증을 제공하는 프로토콜이다.

HTTPS = 443

HTTPS는 통신 구간을 보호하지만, 웹 애플리케이션 취약점 자체를 없애지는 않는다.

SQL Injection
XSS
CSRF
접근통제 취약점
파일 업로드 취약점
취약한 비밀번호 정책

HTTPS는 TLS를 통해 통신 구간의 도청과 변조를 방지하고 서버 인증을 제공한다. 그러나 SQL Injection, XSS, 접근통제 취약점 같은 애플리케이션 내부 취약점까지 제거하는 것은 아니므로 입력값 검증, 권한 검증, 세션 보호, WAF 등 추가 보안 대책이 필요하다.

접속 IP
접속 시간
HTTP 메서드
요청 URL
상태코드
응답 크기
User-Agent
Referer

203.0.113.10 "GET /login HTTP/1.1" 200
203.0.113.20 "POST /admin/login HTTP/1.1" 403
203.0.113.30 "GET /search?q=test HTTP/1.1" 200

웹 로그는 접속 IP, 요청 URL, HTTP 메서드, 상태코드, User-Agent 등을 기록하므로 웹 공격 탐지와 침해사고 분석에 활용된다. 예를 들어 관리자 페이지 반복 접근, 로그인 실패 증가, 404·403 응답 급증, 특수문자가 포함된 요청, 동일 URL 대량 요청 등은 취약점 탐색이나 공격 시도로 의심할 수 있다.

SQL syntax error near 'SELECT * FROM users'
/var/www/html/app/login.php line 37
Database user: root

사용자에게는 일반 오류 메시지만 보여주고, 상세 오류는 서버 로그에 기록한다.

웹 애플리케이션의 상세 오류 메시지는 DB 구조, 서버 경로, 프레임워크 버전 등 내부 정보를 노출하여 공격자가 취약점을 파악하는 데 악용될 수 있다. 따라서 사용자에게는 일반화된 오류 메시지를 제공하고, 상세 오류 내용은 서버 로그에만 기록하여 관리자만 확인하도록 해야 한다.

로그인 폼
검색창
댓글
게시글 제목
파일명
쿠키
HTTP 헤더
API 파라미터
URL Query String

클라이언트 입력값은 신뢰하지 말고 서버에서 검증한다.

1. 브라우저가 로그인 요청을 보낸다.
2. HTTP 요청에는 메서드, URL, 헤더, 쿠키, Body가 포함된다.
3. 서버는 입력값을 검증한다.
4. 서버는 사용자를 인증한다.
5. 인증 성공 시 세션을 생성한다.
6. 세션 ID를 쿠키로 전달한다.
7. 이후 사용자는 세션 쿠키로 로그인 상태를 유지한다.
8. 결제 요청 시 서버는 인가를 확인한다.
9. HTTPS로 민감정보를 암호화해 전송한다.
10. 모든 요청과 응답은 웹 로그에 기록된다.

GET으로 비밀번호를 보내면 안 된다.
민감정보는 HTTPS로 전송해야 한다.
쿠키에는 HttpOnly, Secure, SameSite를 적용해야 한다.
서버는 인증과 인가를 매번 확인해야 한다.
입력값은 서버에서 검증해야 한다.
상세 오류 메시지를 사용자에게 보여주면 안 된다.
웹 로그를 분석해 공격 징후를 확인해야 한다.

HTTP는 각 요청을 독립적으로 처리하며 이전 요청 상태를 자동으로 기억하지 않는 무상태 프로토콜이다. 따라서 로그인 상태와 사용자 식별 정보를 유지하기 위해 쿠키와 세션을 사용하며, 일반적으로 서버는 세션을 생성하고 클라이언트는 세션 ID를 쿠키로 전송한다.

GET은 주로 데이터 조회에 사용되며 요청 데이터가 URL에 포함될 수 있어 브라우저 기록이나 로그에 남기 쉽기 때문에 민감정보 전송에 부적절하다. POST는 요청 본문에 데이터를 포함하여 전송이나 등록 처리에 사용되지만, 암호화가 보장되는 것은 아니므로 로그인 정보나 개인정보 전송 시 HTTPS를 적용해야 한다.

HttpOnly는 JavaScript에서 쿠키에 접근하지 못하도록 하여 XSS로 인한 쿠키 탈취 위험을 줄인다. Secure는 HTTPS 통신에서만 쿠키가 전송되도록 하며, SameSite는 다른 사이트에서 발생한 요청에 쿠키가 자동 전송되는 것을 제한하여 CSRF 위험을 완화한다.

인증은 사용자가 주장하는 신원이 실제로 맞는지 확인하는 절차로, 로그인, OTP, 인증서 등이 예시이다. 인가는 인증된 사용자가 특정 자원이나 기능에 접근할 권한이 있는지 확인하는 절차로, 관리자 페이지 접근 허용 여부나 타인 정보 조회 제한 등이 예시이다.

HTTPS는 TLS를 이용해 클라이언트와 서버 간 통신을 암호화하여 도청과 변조를 방지하고, 인증서를 통해 서버 신원을 확인할 수 있게 한다. 그러나 SQL Injection, XSS, 접근통제 취약점과 같은 애플리케이션 내부 취약점을 자동으로 제거하지는 못하므로 입력값 검증, 권한 검증, 세션 보호 등 추가 보안 대책이 필요하다.

웹 로그는 접속 IP, 요청 시간, HTTP 메서드, 요청 URL, 상태코드, User-Agent 등을 기록하므로 공격 시점과 공격 경로, 피해 범위를 분석하는 데 활용된다. 관리자 페이지 반복 접근, 로그인 실패 증가, 404·403 응답 급증, 특수문자 포함 요청, 동일 URL 대량 요청 등은 웹 공격 징후로 의심할 수 있다.

HTTP는 웹에서 클라이언트와 서버가 요청과 응답을 주고받기 위한 응용 계층 프로토콜이다.

HTTP는 이전 요청 상태를 자동으로 기억하지 않는 무상태 프로토콜이므로 로그인 상태 유지를 위해 쿠키와 세션이 사용된다.

GET은 요청 데이터가 URL에 포함될 수 있어 민감정보 전송에 부적절하고, POST도 암호화가 보장되는 것은 아니므로 HTTPS가 필요하다.

쿠키는 클라이언트 브라우저에 저장되는 데이터이고, 세션은 서버가 사용자 상태를 관리하기 위한 정보이다.

HttpOnly는 JavaScript의 쿠키 접근을 제한하고, Secure는 HTTPS에서만 쿠키를 전송하며, SameSite는 CSRF 위험을 완화한다.

인증은 사용자의 신원을 확인하는 절차이고, 인가는 인증된 사용자가 특정 자원이나 기능에 접근할 권한이 있는지 확인하는 절차이다.

HTTPS는 TLS를 이용해 통신의 기밀성, 무결성, 서버 인증을 제공한다.

HTTPS는 통신 구간을 보호하지만 SQL Injection, XSS 같은 애플리케이션 취약점을 자동으로 제거하지는 않는다.

웹 로그는 접속 IP, 요청 URL, 상태코드, User-Agent 등을 기록하므로 공격 탐지와 침해사고 분석에 활용된다.

상세 오류 메시지는 DB 구조, 서버 경로, 프레임워크 버전 등 내부 정보를 노출할 수 있으므로 사용자에게는 일반 오류 메시지만 제공해야 한다.

클라이언트 입력값은 신뢰하지 말고 서버 측에서 검증해야 한다.

1. 웹 애플리케이션이란 무엇인가?
2. 클라이언트와 서버의 차이를 쓰시오.
3. HTTP란 무엇인가?
4. HTTP가 무상태 프로토콜이라는 의미를 쓰시오.
5. HTTP 요청을 구성하는 주요 요소 3가지를 쓰시오.
6. HTTP 응답을 구성하는 주요 요소 3가지를 쓰시오.
7. GET과 POST의 차이를 쓰시오.
8. Query String에 민감정보를 넣으면 안 되는 이유를 쓰시오.
9. 401, 403, 404, 500 상태코드의 의미를 각각 쓰시오.
10. 쿠키란 무엇인가?
11. 세션이란 무엇인가?
12. 쿠키와 세션의 차이를 쓰시오.
13. HttpOnly, Secure, SameSite 쿠키 속성의 의미를 각각 쓰시오.
14. 인증과 인가의 차이를 쓰시오.
15. MFA란 무엇인가?
16. HTTPS가 제공하는 보안 효과 3가지를 쓰시오.
17. HTTPS만으로 웹 보안이 완성되지 않는 이유를 쓰시오.
18. 웹 로그에 기록되는 주요 항목 5가지를 쓰시오.
19. 웹 로그에서 공격 징후로 볼 수 있는 예시 3가지를 쓰시오.
20. 상세 오류 메시지가 위험한 이유를 쓰시오.
21. 입력값 검증이 필요한 이유를 쓰시오.

22. 사용자가 로그인했지만 서버가 다음 요청에서 자동으로 로그인 상태를 기억하지 못한다.
23. 서버가 브라우저에 sessionid 값을 저장하도록 전달했다.
24. JavaScript로 쿠키를 읽지 못하게 하고 싶다.
25. HTTPS 연결에서만 쿠키가 전송되게 하고 싶다.
26. 일반 사용자가 관리자 페이지에 접근하려 했으나 권한이 없어 차단되었다.
27. 로그인하지 않은 사용자가 마이페이지에 접근하려 했다.
28. URL에 password=1234가 포함되어 로그에 남았다.
29. 서버 오류 화면에 DB 쿼리와 서버 경로가 노출되었다.
30. 동일 IP에서 /admin, /manager, /phpmyadmin 경로를 반복 요청했다.

31. HTTP의 무상태 특성과 쿠키·세션이 필요한 이유를 설명하시오.

32. GET과 POST의 차이와 보안상 주의점을 설명하시오.

33. 쿠키 보안 속성 HttpOnly, Secure, SameSite를 설명하시오.

34. 인증과 인가의 차이를 설명하시오.

35. HTTPS의 필요성과 한계를 설명하시오.

취약점명: SQL Injection 가능성
진단 위치: /login 요청의 id 또는 password 파라미터
위험도: 높음
발견 근거: 입력값에 SQL 특수문자 또는 조건식 삽입 시 인증 우회나 오류 메시지 노출 가능
영향: 개인정보 조회, 인증 우회, DB 변조·삭제, 추가 시스템 침투
개선 방안: Prepared Statement 사용, 입력값 검증, 오류 메시지 일반화, DB 계정 최소권한, 로그 모니터링
재점검 기준: 동일 입력값으로 인증 우회와 오류 노출이 재현되지 않아야 함