세션 하이재킹

3. 세션 하이재킹의 방법

세션 하이재킹은 주로 웹 애플리케이션에서 사용자의 세션 ID를 탈취하여 이루어진다. 세션 ID는 사용자를 식별하고 인증 상태를 유지하는 데 사용되는 정보이다. 세션 하이재킹은 통신의 당사자가 아닌 제3자(공격자)가 세션 ID를 획득하여 세션을 가로채는 공격 수법이다. 웹 애플리케이션에서는 사용자가 처음에 로그인할 때 비밀번호를 요구하지만, 로그인 성공 후에는 세션 ID만으로 사용자를 식별하는 경우가 많다. 따라서 공격자가 세션 ID를 탈취하면 사용자의 비밀번호를 몰라도 세션을 가로챌 수 있다.

웹 애플리케이션에 대한 세션 하이재킹은 크게 세 가지 유형으로 분류할 수 있다.

HTTP는 원래 세션 관리 메커니즘을 갖추고 있지 않기 때문에, 웹 애플리케이션 측에서 세션 관리 메커니즘을 준비하고 브라우저에 세션 ID를 부여해야 한다. 그러나 이 세션 관리 메커니즘이 부적절하면 세션 하이재킹의 위험이 있다.

3. 1. 세션 ID 획득 방법

• '''세션 고정''': 공격자가 사용자의 세션 ID를 자신이 알고 있는 ID로 설정하는 방법이다. 예를 들어, 특정 세션 ID가 포함된 링크가 있는 이메일을 사용자에게 보내는 방식이다. 공격자는 사용자가 로그인할 때까지 기다린 후 해당 세션 ID를 이용하여 세션을 가로챌 수 있다.^[3]
• '''세션 사이드 재킹''': 공격자가 패킷 스니핑을 사용하여 네트워크 트래픽을 감청하고, 암호화되지 않은 HTTP 쿠키를 훔치는 방법이다. 많은 웹사이트가 로그인 페이지에는 SSL 암호화를 사용하지만, 인증 후에는 암호화를 사용하지 않는 경우가 많다. 이 점을 노려 공격자는 세션 쿠키를 훔쳐 피해자를 사칭할 수 있다.^[3] 특히 보안되지 않은 와이파이 핫스팟이 취약하다.
• '''XSS''': 공격자가 웹 사이트 취약점을 이용해 사용자의 컴퓨터에서 악성 코드를 실행시켜 쿠키를 훔치거나 다른 공격을 수행하는 방법이다.
• '''악성 소프트웨어''': 잠재적 원치 않는 프로그램이나 악성코드를 통해 사용자의 브라우저 쿠키 파일을 훔치는 브라우저 하이재킹을 수행할 수 있다.^[4] 물리적으로 접근 가능한 공격자는 사용자의 컴퓨터나 서버에서 세션 키를 직접 훔칠 수도 있다.
• '''세션 ID 추측''': 세션 ID가 연번, 시간, 사용자 ID, 이메일 주소 등 예측 가능한 방식으로 생성된 경우, 공격자가 이를 추측하여 세션을 탈취할 수 있다.
• '''리퍼러 악용''': 세션 ID가 URL에 포함되는 경우, HTTP 리퍼러를 통해 공격자가 세션 ID를 획득할 수 있다. 예를 들어, SNS에서 공격자가 대상 사용자에게 링크를 보내고, 사용자가 링크를 클릭하면 공격자는 리퍼러 정보를 통해 세션 ID를 알 수 있다.

3. 2. TCP 세션 하이재킹

4. HTTP 세션 관리 및 대응

HTTP는 원래 브라우저의 요청에 대해 웹 페이지를 반환하는 일방향 통신을 상정하고 있으며, HTTP 자체에는 세션 관리 메커니즘이 없다. 따라서 웹 애플리케이션 측에서 세션 관리 메커니즘을 구현하고 브라우저에 세션 ID를 부여해야 한다. 하지만 이 세션 관리 메커니즘이 부적절하면 세션 하이재킹 위험이 있다.^[2]

웹 애플리케이션의 세션 하이재킹은 다음 세 가지 유형으로 분류할 수 있다.

• '''세션 ID 추측:''' 세션 ID를 연번, 시각^[24], 사용자 ID^[24], 이메일 주소^[24] 등 추측하기 쉬운 방식으로 할당하면 공격자가 세션 ID를 추측할 수 있다.
• '''세션 ID 탈취:''' 크로스 사이트 스크립팅^[24], HTTP 헤더 주입^[24], 미들웨어 취약점^[24] 등 웹 애플리케이션의 취약점을 이용하여 브라우저에 보관된 세션 ID를 훔친다. 리퍼러를 악용하여 세션 ID를 탈취할 수도 있다.^[24]
• '''세션 고정 공격:''' 공격자가 피해자의 브라우저에 자신이 준비한 세션 ID를 삽입하는 공격이다.

4. 1. 세션 ID 송수신 방법

보안을 고려하면 쿠키나 폼 데이터의 `hidden` 필드를 이용하여 세션 관리를 해야 한다. 폼 데이터의 `hidden` 필드를 이용하는 방식이 쿠키를 이용하는 방식보다 세션 ID가 공격자에게 덜 노출되지만,^[5] 구현이 복잡해지는 단점이 있다.^[5]

4. 2. 보안 대책

• SSL/TLS를 사용하여 데이터 통신을 암호화하여 세션 키를 보호한다. 특히 로그인 및 금융 거래와 같이 민감한 정보를 다루는 페이지에서는 필수적이다.^[21]
• 길고 예측 불가능한 임의의 숫자나 문자열을 세션 키로 사용하여 공격자가 추측하기 어렵게 만든다.
• 로그인 성공 후에는 반드시 세션 ID를 재생성하여 세션 고정 공격을 방지한다.
• 사용자의 IP 주소를 확인하는 등의 추가적인 인증 절차를 통해 공격을 방어할 수 있다. 그러나 동일한 IP 주소를 사용하는 사용자의 공격은 막을 수 없다.
• 모든 요청에 대해 쿠키 값을 변경하여 공격 시간을 단축하고 공격을 식별한다.
• 사용자는 웹사이트 사용을 마칠 때마다 로그아웃하여 세션을 종료하는 것이 좋다.^[23][24]
• 웹 애플리케이션 개발 도구(웹 애플리케이션 프레임워크)에서 제공하는 세션 관리 기능을 활용하는 것이 좋다. 세션 관리 기능을 직접 구현하는 것은 피해야 한다.^[24]

5. 취약점 및 공격 도구

파이어쉽은 2010년 10월에 소개된 파이어폭스 확장 기능으로, 보안되지 않은 네트워크에서 세션 하이재킹 취약점을 시연했다. 이 확장 기능은 인기 웹사이트에서 암호화되지 않은 쿠키를 캡처하여, 동일 네트워크상의 다른 사용자의 활성 세션을 탈취할 수 있게 했다. 이 도구는 사이드바에 잠재적 대상자를 표시하여 비밀번호 도용 없이 세션에 접근할 수 있도록 했다. 지원되는 웹사이트로는 페이스북, 트위터, 플리커, 아마존, 윈도우 라이브, 구글 등이 있으며, 스크립트를 사용하여 다른 웹사이트를 추가할 수도 있었다.^[6] 불과 몇 달 후, 페이스북과 트위터는 HTTP 전체 적용을 제안하고 (이후에는 필수화) 대응했다.^[7][8]

DroidSheep은 웹 세션 하이재킹(sidejacking)을 위한 간단한 안드로이드 도구이다. 무선(802.11) 네트워크 연결을 통해 전송된 HTTP 패킷을 수신하고 이러한 패킷에서 세션 ID를 추출하여 재사용한다. DroidSheep은 libpcap 라이브러리를 사용하여 세션을 캡처할 수 있으며, 개방형(암호화되지 않은) 네트워크, WEP 암호화 네트워크, WPA/WPA2 암호화 네트워크(PSK만 해당)를 지원한다. 이 소프트웨어는 libpcap 및 arpspoof를 사용한다.^[9][10] 구글 플레이에서 제공되었지만 구글에 의해 삭제되었다.

CookieCadger는 암호화되지 않은 GET 요청을 사용하는 애플리케이션에서 정보 유출을 식별하는 데 도움이 되도록 HTTP 요청의 사이드재킹 및 재실행을 자동화하는 그래픽 자바 애플리케이션이다. 이는 유선 이더넷, 보안되지 않은 와이파이를 모니터링하거나 오프라인 분석을 위해 패킷 캡처 파일을 로드할 수 있는 와이어샤크 제품군을 기반으로 하는 크로스 플랫폼 오픈 소스 유틸리티이다. Cookie Cadger는 Shutterfly (AYSO 축구 리그에서 사용) 및 TeamSnap과 같은 청소년 팀 공유 사이트의 취약점을 강조하는 데 사용되었다.^[11]

쿠키 몬스터(CookieMonster)는 "암호화된 세션만" 속성이 제대로 설정되지 않은 경우 제3자가 HTTPS 쿠키 데이터를 획득할 수 있는 중간자 공격의 일종이다. 이는 민감한 개인 정보나 금융 정보가 포함된 사이트에 대한 접근을 허용할 수 있다. 2008년에는 Gmail, 구글 문서, 이베이, 넷플릭스, 캐피탈원, 익스피디아를 포함한 주요 웹사이트에 영향을 미칠 수 있었다.^[12] 이것은 보안 연구원 마이크 페리(Mike Perry)가 개발한 파이썬 기반 도구이다. 페리는 2007년 BugTraq에서 쿠키 몬스터가 악용한 취약점을 처음 발표했다. 1년 후, 그는 데프콘 16(Defcon 16)에서 쿠키 몬스터를 개념 증명 도구로 시연했다.^{[13][14][15][16][17][18][19][20]}

참조

_[1] 간행물 CookiExt: Patching the browser against session hijacking attacks 2015-09-16
_[2] 웹사이트 Session Hijacking & HTTP Communication https://cwatch.comod[...] 2020-10-19
_[3] 웹사이트 Warning of webmail wi-fi hijack http://news.bbc.co.u[...] BBC News 2007-08-03
_[4] 웹사이트 Malware use Browser Hijacking to steal cookie https://blog.malware[...] 2020-10-19
_[5] 서적 Engineering Secure Software and Systems Springer 2011
_[6] 뉴스 Firefox extension steals Facebook, Twitter, etc. sessions http://www.h-online.[...] 2010-10-25
_[7] 뉴스 Facebook now SSL-encrypted throughout http://www.h-online.[...] 2011-01-27
_[8] 뉴스 Twitter adds 'Always use HTTPS' option http://www.h-online.[...] 2011-03-16
_[9] 웹사이트 DroidSheep https://code.google.[...]
_[10] 웹사이트 DroidSheep Blog http://droidsheep.de[...] 2012-08-07
_[11] 웹사이트 How Shutterfly and Other Social Sites Leave Your Kids Vulnerable to Hackers https://www.motherjo[...] 2013-05-03
_[12] 웹사이트 CookieMonster nabs user creds from secure sites • The Register https://www.theregis[...] www.theregister.co.uk 2009-02-18
_[13] 웹사이트 CookieMonster: Cookie Hijacking {{!}} fscked.org https://fscked.org/p[...] 2018-12-18
_[14] 웹사이트 CookieMonster Can Steal HTTPS Cookies -- Security -- InformationWeek http://www.informati[...] 2008-09-11
_[15] 웹사이트 CookieMonster nabs user creds from secure sites https://www.theregis[...] 2018-12-18
_[16] 웹사이트 Incomplete List of Alleged Vulnerable Sites {{!}} fscked.org https://fscked.org/b[...] 2018-12-18
_[17] 웹사이트 HTTPS Cookie-Hijacking Tool CookieMonster Gobbles Personal Data https://www.eweek.co[...] Ziff-Davis 2008-09-12
_[18] 웹사이트 Perry's Defcon Presentation (YouTube) https://www.youtube.[...]
_[19] 웹사이트 Defcon Presentation slides https://fscked.org/p[...]
_[20] 웹사이트 CookieMonster Core Logic, Configuration, and READMEs http://fscked.org/bl[...]
_[21] 웹사이트 Schneier on Security: Firesheep http://www.schneier.[...] 2011-05-29
_[22] 서적 Secure IT Systems
_[23] 웹사이트 NetBadge: How To Log Out http://itc.virginia.[...]
_[24] 웹사이트 Be Card Smart Online - Always log out http://www.becardsma[...]