[웹해킹] CSRF 공격이란?

 

CSRF는 Cross Site Request Forgery의 약자로 사이트 간 요청 위조 라고 번역 할 수 있다. 이 공격 방법은 해커들이 사용자들로 하여금 어떤 링크를 누르게 한 후, 링크를 누르면 사용자 모르게 어떤 특정 기능이 실행 되도록 하는 것이다. 주로 피싱을 활용해 사용자 패스워드를 변경하는 데에 사용된다. 이 공격은 2008년에 1080만명의 개인정보가 유출되었던 옥션 해킹 사건에서 사용된 기법중 하나이다.

CSRF 공격은 다음과 같은 과정으로 진행된다.

 

 

1. 사용자가 먼저 사이트에 정상적으로 접속하여 로그인 한다.

 

 

 

 

 

 

 

2. 사용자가 사이트에 접속해 있는 동안 해커가 이메일을 보내서 어떤 링크를 클릭하도록 피싱한다. 이 그림에선 해커가 은행 직원으로 가장한 것이다.

 

 

 

 

 

 

3. 해커가 요구한 링크 클릭

 

 

 

 

 

 

 

만일 사용자가 이걸 믿거나 아무 생각없이 링크를 클릭하면 클릭한 시점에 이미 로그인 되어 있던 사이트의 패스워드를 해커가 지정한 패스워드로 변경하는 요청이 자동으로 전송되어 자기도 모르는 사이에 웹사이트의 패스워드가 변경된다. 이후 해커는 변경된 패스워드를 이용하여 해당 사용자의 계정으로 로그인 할 수 있다.

 

 

이처럼 CSRF는 피싱만 잘하면 난이도 자체는 쉬운 공격에 속한다. 다만, CSRF 공격의 필수 조건이라고 한다면 사용자가 피싱을 당하여 링크를 누르는 시점에 사이트에 로그인이 돼있어야 한다는 것이다.
사용자들은 이메일이나 게시판의 링크를 누를 때 항상 주의하는 습관을 가져야 한다.