Burp로 인증 세션 하이재킹 시나리오 재현

소개

인증 세션 하이재킹은 세션 식별자 탈취를 통해 인증 상태를 도용하는 공격 유형이다. 보안 점검 관점에서는 재현 가능한 시나리오 마련과 취약점 분류가 중요하다. 이 글은 합법적 범위의 테스트 환경을 전제로 Burp를 활용한 점검 흐름과 핵심 확인 항목을 설명한다. 초심자도 개념을 이해할 수 있도록 단계별로 정리한다.

사전 준비

환경과 범위

실습 대상은 자체 테스트 서버 또는 합법적 허가를 받은 범위로 한정한다. 실제 서비스에 대한 무단 테스트는 법적 문제가 될 수 있다. 테스트 환경에는 브라우저, Burp Suite(프록시 기능 포함), 대상 애플리케이션의 테스트 계정이 필요하다.

필수 설정

• 브라우저 프록시 설정으로 Burp를 통한 트래픽 가로채기 구성
• HTTPS 트래픽을 위한 Burp CA 인증서 설치
• 테스트 계정과 재현 가능한 로그인 흐름 확보

시나리오 개요

재현 목적은 세션 식별자 노출 및 보호 미비 여부를 확인하는 데 있다. 기본적인 시나리오는 다음과 같다.

• 사용자 로그인 후 발급된 세션 식별자(세션 쿠키 또는 토큰) 확인
• 전송 방식과 저장 방식에서 노출 지점 탐색
• 취약한 설정이 발견되면 영향 범위와 완화 방안 문서화

핵심 점검 항목

1. 전송 보안

세션 식별자의 전송 경로가 암호화되는지 확인한다. HTTPS가 적용되어도 중간에 암호화가 해제되는 구간이 존재할 수 있다. 또한 리디렉션 과정에서 쿼리스트링에 토큰이 노출되는지 검토한다.

2. 쿠키 속성

쿠키 기반 세션의 경우 다음 속성 유무가 보안 판단 기준이다.

• Secure: HTTPS에서만 전송 여부
• HttpOnly: 자바스크립트 접근 차단 여부
• SameSite: CSRF 위험 완화 여부

아래 예시는 비교 목적의 헤더 샘플이다.

Set-Cookie: sessionid=abc123; Path=/; Domain=example.com

# 취약한 설정 예시
Set-Cookie: sessionid=abc123; Path=/; Domain=example.com

# 권장 설정 예시
Set-Cookie: sessionid=abc123; Path=/; Domain=example.com; Secure; HttpOnly; SameSite=Lax

3. 세션 갱신과 만료 정책

세션 고정(session fixation)과 장기 유효성으로 인한 위험을 점검한다. 로그인 시점에 세션 식별자가 재발급되는지, 유효기간이 적절한지 확인한다. 또한 로그아웃 시 서버 측에서 세션 무효화가 이뤄지는지 검토한다.

4. 토큰 저장 위치

토큰이 로컬 스토리지나 세션 스토리지에 저장되는 경우, XSS 발생 시 노출 위험이 커진다. 저장 위치와 접근 제어를 점검하는 것이 필요하다.

Burp 활용 시 주의점

Burp는 트래픽 가시화와 조작을 위한 도구다. 실제 공격 재현을 목적으로 할 때는 반드시 권한과 범위가 명확해야 한다. 도구의 기능을 통해 취약 여부를 확인하되, 결과 기록과 영향 범위 평가를 중심으로 움직인다.

모의 재현의 안전한 범위와 방법론

재현은 증거 수집과 재발 방지에 초점이 맞춰진다. 다음 항목이 안전한 점검 흐름이다.

• 테스트는 격리된 환경에서 진행
• 취약점 발견 시 재현 절차와 로그를 문서화
• 서비스 영향 최소화를 위한 트래픽 제한

탐지와 완화 권장 사항

세션 관련 취약점 완화는 다층 방어가 핵심이다. 권장 사항은 다음과 같다.

• 모든 인증 관련 트래픽에 HTTPS 적용
• 쿠키에 Secure와 HttpOnly, 적절한 SameSite 정책 적용
• 로그인 시 세션 재발급 및 짧은 유효기간 설정
• 토큰 저장은 가능하면 쿠키에 한정하고, 클라이언트 스토리지 사용 최소화
• XSS 취약점 예방으로 간접적 세션 노출 차단

결론

Burp를 활용한 점검은 세션 관리의 취약점을 드러내는 유용한 방법이다. 다만 도구 사용은 항상 합법적 범위와 안전 절차를 전제로 한다. 점검 결과는 취약성 우선순위화와 구체적 완화 작업으로 이어져야 한다. 이를 통해 인증 세션 관련 위협을 체계적으로 줄일 수 있다.