토픽 119 / 210·사이버 공격 및 위협
세션 하이재킹 (Session Hijacking)
세션 하이재킹 (Session Hijacking)
인증된 사용자의 유효한 세션을 탈취하여 공격자가 해당 사용자로 위장하여 시스템에 접근하는 공격
목적: 인증 우회, 사용자 권한 탈취, 계정 도용
특징: 인증 이후 공격, 세션 토큰/쿠키 대상, 서버는 정상 사용자로 인식
공격 유형
- •세션 토큰 탈취: XSS를 통한 쿠키 탈취, 네트워크 스니핑(HTTP 환경), 물리적 접근
- •세션 고정 공격(Session Fixation): 공격자가 미리 생성한 세션 ID를 피해자에게 사용하도록 유도, 피해자 인증 후 공격자가 동일 세션 사용
- •세션 사이드재킹(Sidejacking): 같은 네트워크에서 세션 쿠키 스니핑(Firesheep 도구)
- •TCP 세션 하이재킹: TCP 시퀀스 번호 예측/탈취로 연결 가로채기
방어 기법
- •Secure 쿠키 플래그: HTTPS에서만 쿠키 전송, 스니핑 방지
- •HttpOnly 쿠키 플래그: JavaScript에서 쿠키 접근 차단, XSS 방어
- •SameSite 쿠키 속성: 크로스사이트 요청 시 쿠키 전송 제한
- •세션 재생성: 인증 성공 후 새 세션 ID 발급(Session Fixation 방지)
- •토큰 바인딩: 세션을 클라이언트 TLS 채널/IP에 바인딩
- •세션 타임아웃: 유휴 시간 초과 시 자동 만료
적용사례: 웹 애플리케이션 계정 탈취, 온라인 뱅킹 공격, 관리자 세션 도용
비교: 세션하이재킹(토큰탈취/인증후) vs 피싱(인증정보탈취/인증전) vs CSRF(요청위조/세션악용)
연관: XSS, 쿠키, TLS, 웹 보안, 인증