Secure Header를 이용한 브라우저 보안 헤더 HSTS(HTTP Strict Transport Security)

Secure Header를 이용한 브라우저 보안 헤더 HSTS(HTTP Strict Transport Security)

안녕하세요, 전문 블로거로서 깔끔하고 독창적인 글을 추구하시는 만큼, 최적화된 콘텐츠를 제공해 드리겠습니다. 아래는 'Secure Header를 이용한 브라우저 보안'에 대한 상세한 블로그 포스팅입니다.

Secure Header를 이용한 브라우저 보안

웹 브라우저의 발전과 보안 필요성

1990년에 탄생한 웹 브라우저(Web Browser)는 웹 서버와 상호 작용하며 HTML 문서나 파일을 출력하는 그래픽 사용자 인터페이스를 기반으로 데스크톱, 모바일 등 다양한 환경에서 HTTP 사용자 에이전트를 제공합니다. 글로벌 시장조사업체 스탯카운터(StatCounter)의 2020년 3월 전 세계 브라우저 시장 점유율에 따르면, 크롬(Chrome)이 65.99%로 선두를 차지하고 있으며, 그 뒤를 사파리(Safari), 파이어폭스(Firefox), 삼성 인터넷(Samsung Internet), 엣지(Edge), 오페라(Opera)가 잇고 있습니다.

이러한 통계를 보면 전 세계적으로 데스크톱 환경에서는 크롬 브라우저의 사용률이 높으며, 맥(Mac) 사용자들은 사파리를 선호하는 경향이 있습니다. 또한, 플랫폼별 웹 사이트 이용 현황을 살펴보면 모바일에서의 브라우저 이용률이 51.9%로 데스크톱의 45.4%를 앞지르고 있습니다. 특히 국내에서는 삼성 갤럭시 스마트폰의 영향으로 삼성 인터넷 브라우저의 점유율이 높게 나타나고 있습니다.

브라우저의 다양성과 사용 환경의 확대로 인해 브라우저 기반의 사이버 공격 또한 증가하고 있습니다. 현대의 웹 사이트들은 다양한 개발사가 만든 웹 페이지와 스크립트로 구성되며, 제3자의 소스 코드를 조합하여 구축되는 경우가 많아 보안 관리에 취약할 수밖에 없습니다. 이러한 이유로 다수의 브라우저 제조사들은 HTTP 보안 헤더(Security Header)를 통해 웹 취약점에 대한 보안을 강화하는 대응 방안을 제공하고 있습니다.

HTTP 보안 헤더의 개요

HTTP 헤더는 HTTP 프로토콜을 이용하여 요청과 응답 시 부가적인 정보를 전달하며, 인증, 캐싱, 제어, 쿠키, 연결, 보안 등 다양한 카테고리로 나뉩니다. 그중 보안과 관련된 Secure Header는 웹 애플리케이션의 보안을 강화하는 데 중요한 역할을 합니다. 이번 포스팅에서는 Secure Header 중 HSTS(HTTP Strict Transport Security), X-XSS-Protection, CSP(Content-Security-Policy)에 대해 상세하게 알아보겠습니다.

HSTS(HTTP Strict Transport Security) 상세 분석

HSTS의 개념과 필요성

HSTS는 웹 서버가 클라이언트에게 HTTPS를 강제로 사용하도록 지시하는 보안 정책입니다. 일반적으로 HTTPS는 HTTP의 단점을 보완하여 데이터를 암호화하여 전송하는 프로토콜로, 민감한 정보를 보호하는 데 사용됩니다. 그러나 사용자가 HTTP로 접속을 시도하거나 공격자가 의도적으로 HTTP 접속을 유도할 경우, 암호화되지 않은 평문 데이터가 전송되어 보안 위협이 발생할 수 있습니다.

일반적인 https 강제적용 방식​

HSTS를 적용하면 클라이언트가 HTTP로 요청하더라도 자동으로 HTTPS로 전환되어 전송되기 때문에 이러한 취약점을 효과적으로 방지할 수 있습니다.

HSTS의 적용 방법

HSTS 동작 방식​

HSTS는 서버에서 응답 헤더에 'Strict-Transport-Security'를 설정하여 적용합니다. 주요 지시자는 다음과 같습니다:

• max-age: HSTS 정책이 유지되는 기간을 초 단위로 지정합니다.
• includeSubDomains: 해당 도메인의 모든 서브도메인에도 HSTS 정책을 적용합니다.
• preload: 브라우저의 HSTS preload 리스트에 도메인을 등록하여 초기 접속 시에도 HTTPS를 강제합니다.

서버 설정이나 웹 애플리케이션의 코드 레벨에서 해당 헤더를 추가하여 적용할 수 있으며, 적용 후에는 hstspreload.org 등을 통해 제대로 적용되었는지 확인할 수 있습니다.

HSTS 지시자, 적용예시

X-XSS-Protection 상세 분석

X-XSS-Protection의 개념과 필요성

XSS(Cross-Site Scripting)는 웹 애플리케이션에서 가장 흔한 공격 기법 중 하나로, 악의적인 스크립트를 삽입하여 사용자 정보를 탈취하거나 사이트의 정상적인 동작을 방해합니다. X-XSS-Protection 헤더는 브라우저 내장 XSS 필터를 활성화하여 이러한 공격을 방지하는 역할을 합니다.

X-XSS-Protection의 적용 방법

X-XSS-Protection 헤더는 다음과 같은 지시자를 가집니다:

• 0: XSS 필터를 비활성화합니다.
• 1: XSS 필터를 활성화하고 공격이 감지되면 스크립트를 필터링합니다.
• 1; mode=block: 공격이 감지되면 전체 페이지 로드를 차단합니다.
• 1; report=URI: 공격이 감지되면 지정된 URI로 보고합니다.

해당 헤더를 서버 응답에 추가하여 적용하며, 브라우저에서 지원하는 경우에만 동작합니다. 적용 예시로는 PHP에서 header('X-XSS-Protection: 1; mode=block');와 같이 설정할 수 있습니다.

X-XSS-Protection 지시자

CSP(Content-Security-Policy) 상세 분석

CSP의 개념과 필요성

CSP는 웹 페이지에 로드될 수 있는 리소스의 출처를 제한하여 XSS, 데이터 삽입, 클릭재킹 등 다양한 공격을 방지하는 보안 정책입니다. 신뢰할 수 있는 콘텐츠 소스만을 허용하여 악성 스크립트의 실행을 차단합니다.

CSP 지시자 일부 CSP 지시자 속성값

CSP의 적용 방법

CSP는 여러 지시자와 속성값을 통해 세부적인 보안 정책을 설정할 수 있습니다. 주요 지시자는 다음과 같습니다:

• default-src: 기본 콘텐츠 소스 지정
• script-src: 스크립트 파일의 소스 지정
• style-src: 스타일시트의 소스 지정
• img-src: 이미지 파일의 소스 지정

속성값으로는 'self', 'none', 특정 도메인 등을 지정할 수 있습니다. 예를 들어, Content-Security-Policy: default-src 'self'; script-src 'self' https://trustedscripts.example.com;와 같이 설정하여 자체 도메인과 신뢰할 수 있는 도메인에서만 스크립트를 로드하도록 제한할 수 있습니다.

CSP는 서버 응답 헤더나 HTML의 메타 태그를 통해 적용할 수 있으며, 적용 후에는 csp-evaluator.withgoogle.com 등을 통해 정책의 유효성을 검사할 수 있습니다.

결론

웹 브라우저의 발전과 함께 다양한 사이버 공격 위협이 증가하고 있으며, 특히 웹 애플리케이션의 취약점을 노린 공격이 빈번하게 발생하고 있습니다. 이러한 위협에 대응하기 위해 HSTS, X-XSS-Protection, CSP와 같은 HTTP 보안 헤더를 적절하게 활용하는 것이 중요합니다.

이러한 보안 헤더들은 비교적 간단한 설정만으로도 웹 애플리케이션의 보안 수준을 크게 향상시킬 수 있습니다. 따라서 웹 사이트를 운영하는 기업이나 개발자들은 자신의 서비스에 맞는 보안 헤더를 적극적으로 적용하여 사용자들의 안전한 웹 사용을 보장해야 합니다. 또한, 새로운 보안 위협에 대비하기 위해 지속적으로 최신 보안 동향을 파악하고 대응 방안을 모색하는 노력이 필요합니다.

키워드: Secure Header, 브라우저 보안, HSTS, X-XSS-Protection, CSP, 웹 취약점, HTTPS, XSS 공격, 콘텐츠 보안 정책, 웹 애플리케이션 보안