요즘 네트워크 보안에 대해 공부하던 중 유튜브 영상을 하나 보게 되었습니다. 중국의 황금방패라는 것에 관한 영상이었는데요. 요약하자면 황금방패는 만리방화벽이라고도 불리는 인터넷 검열 체계로, 중국이 자국민의 인터넷 사용을 검열하기 위해 구축한 보안 체계라고 합니다. 이로 인해 중국에 여행을 간 사람들은 유튜브, 구글, 인스타그램 등 평소에 자유롭게 사용하던 서비스들을 이용하지 못해 난감한 상황이 일어나곤 한다고 합니다. 이때 저는 중국이란 커다란 나라가 어떻게 국가 전체 네트워크를 검열하는 것인지 궁금해져 관련 내용을 조사해 보았습니다. 황금방패의 탄생중국은 기본적으로 공산당이 집권해오고 있습니다. 하지만 1998년에 중국 민주당이 인터넷과 휴대전화 메시지 등을 이용해 대중에게 영향을 미치며 지지도를 높..

비슷해서 헷갈리는 개념인 CORS와 CSRF에 대해 알아보자.Cross Origin Resource Sharing(CORS)이란?CORS(Cross Origin Resource Sharing)교차 출처 자원 공유란 이는 서버가 다른 출처로부터의 액세스를 허용하거나 제한할 수 있게 하는 HTTP 헤더 기반 매커니즘입니다. 간단하게 말해서 A 사이트에서 B 사이트로 요청을 보낸다고 가정할 때, B 사이트에서 이를 허용할건지 말건지에 대한 설정을 의미한다.CORS에 대한 예시를 들어보겠습니다. CORS 설정은 요즘 웹 개발을 보통 백엔드, 프론트엔드로 나눠 개발하는 과정에 많이 사용됩니다. 백엔드 코드에서 API를 만들고 이를 프론트엔드 코드에서 호출합니다. 그러면 특별한 설정하지 않은 상태에서는 보통 COR..

Cross-Site Scripting(XSS)이란?교차 사이트 스크립트 XSS('크사'라고 부르기도 함)는 간단하게 웹에서 악의적인 Javascript를 실행하는 공격이라고 생각하면 이해하기 쉽습니다. 예를 들어 댓글을 남길 수 있는 상황에 댓글에 일반적인 내용이 아니라 악의적인 Javascript 코드를 삽입합니다. 그러면 이 내용이 서버에 저장되고, 다른 사용자들이 댓글을 보기 위해 해당 페이지에 접속하게 되면 이를 화면에서 표시하는 과정에 해당 부분이 문자열로 인식되지 않고 스크립트 코드로 인식되어 실행될 위험이 있습니다. XSS 공격의 유형XSS는 크게 세 가지 유형으로 나눌 수 있습니다.저장된 XSS (Stored XSS)악성 스크립트가 서버에 저장되어 여러 사용자가 해당 스크립트를 실행하게 됩..

SQL Injection이란?SQL 인젝션(SQL Injection)은 웹 애플리케이션에서 DB를 이용할 때 SQL을 이용한다는 점을 활용한 공격 방법입니다. 사용자 입력을 적절히 검증한다면 발생하지 않을 수 있지만, 그렇지 않을 경우 발생하는 보안 취약점 중 하나입니다. 공격자는 이 취약점을 악용해 정상적인 SQL 쿼리에 악의적인 SQL 코드를 주입하여 데이터베이스를 조작하거나 비인가된 데이터를 탈취할 수 있습니다. 아래는 쉬운 예제입니다.SELECT * FROM users WHERE username = 'admin' AND password = 'password';웹 애플리케이션 서버에서 위와 같은 SQL을 통해 로그인 기능을 구현했다고 가정합니다. 이때 사용자가 로그인을 하기 위해 username으로..

오늘날 인터넷 사용자들이 자신을 보호하기 위해 가장 많이 찾는 도구 중 하나가 VPN입니다. 하지만 VPN의 동작 원리를 정확히 이해하고 사용하는 경우는 드물다고 생각합니다. 또한 "VPN은 과연 안전한가?"라는 질문에 대해서도 깊이 생각해 볼 필요가 있습니다. 이 글에서는 VPN의 작동 원리, 보안의 실제 수준, 그리고 VPN이 완벽하지 않을 수 있는 이유들을 함께 살펴보겠습니다. 1. VPN 동작 원리간단한 비유를 통해 VPN 이해하기VPN을 사용한다는 의미는 직접 통신하지 않고 VPN 서버를 경유해 통신하겠다는 뜻입니다.간단한 예시를 들겠습니다. '유재석'과 '박명수'는 친구입니다. 이때 유재석은 박명수에게 전달하고 싶은 편지가 있습니다. 이때 유재석은 직접 박명수에게 편지를 전달하기 부끄러워, 친..