안전하지 않은 애플리케이션은 사용자와 시스템을 다양한 유형의 손상에 노출시킬 수 있습니다. 악의적인 행위자가 취약점이나 보안 기능 부족을 악용하여 피해를 끼치는 것을 공격이라고 합니다. 이 가이드에서는 애플리케이션을 보호할 때 무엇을 찾아야 하는지 알 수 있도록 다양한 유형의 공격을 살펴봅니다.
능동 공격과 수동 공격 비교
공격은 능동형과 수동형의 두 가지 유형으로 나눌 수 있습니다.
활성 공격
적극적인 공격에서는 공격자가 애플리케이션에 직접 침입하려고 시도합니다. 이를 수행하는 방법에는 여러 가지가 있습니다. 가짜 ID를 사용하여 민감한 정보에 액세스하는 것 (가장 공격)부터 서버에 대량의 트래픽을 유발하여 애플리케이션이 응답하지 않도록 하는 것 (서비스 거부 공격)까지 다양합니다.
전송 중인 데이터에 대한 활성 공격도 가능합니다. 공격자는 애플리케이션 데이터가 사용자의 브라우저에 도달하기 전에 이를 수정하여 사이트에 수정된 정보를 표시하거나 사용자를 의도하지 않은 대상 주소로 유도할 수 있습니다. 이를 메시지 수정이라고도 합니다.
패시브 공격
패시브 공격에서는 공격자가 애플리케이션에서 정보를 수집하거나 학습하려고 하지만 애플리케이션 자체에는 영향을 미치지 않습니다.
누군가 내 친구 및 가족과의 대화를 엿듣고 내 사생활, 친구, 내가 자주 가는 장소에 관한 정보를 수집한다고 가정해 보세요. 웹 트래픽에서도 동일한 작업을 수행할 수 있습니다. 공격자가 브라우저와 서버 간의 데이터를 캡처하여 사용자 이름 및 비밀번호, 사용자의 방문 기록, 교환된 데이터를 수집할 수 있습니다.
공격 방어
공격자가 개발자나 사용자가 알아채지 못하도록 애플리케이션에 직접적인 피해를 주거나 사이트에서 악성 작업을 실행할 수 있습니다. 공격을 감지하고 방어하는 메커니즘이 필요합니다.
안타깝게도 애플리케이션을 100% 안전하게 만드는 단일 솔루션은 없습니다. 실제로는 공격을 방지하거나 지연시키기 위해 여러 보안 기능과 기법이 계층적으로 사용됩니다 (이를 심층 방어라고 함). 애플리케이션에 양식이 포함된 경우 브라우저에서 입력을 확인한 다음 서버에서 확인하고 마지막으로 데이터베이스에서 확인할 수 있습니다. 또한 HTTPS를 사용하여 전송 중인 데이터를 보호할 수 있습니다.
마무리
서버에 도달하지 않고도 많은 공격이 발생할 수 있으므로 공격이 발생하는지 여부를 감지하기 어려운 경우가 있습니다. 다행히 웹브라우저에는 강력한 보안 기능이 이미 내장되어 있습니다. 자세한 내용은 다음 주제인 '브라우저가 공격을 완화하는 방법'을 참고하세요.