707. 세션 하이재킹 (Session Hijacking / TCP Seq 번호 추정 절도 등 탈취/Cookie/토큰 갈취 기법)

핵심 인사이트 (3줄 요약)

1. 본질: 세션 하이재킹은 네트워크 보안 위협과 대응에서 핵심 동작과 제약을 이해하게 해 주는 개념이다.
2. 가치: 세션 하이재킹을 이해하면 탐지 가능성과 복구성 사이의 균형을 더 정확히 볼 수 있다.
3. 판단 포인트: 설계 시에는 개념 자체보다 적용 조건, 운영 복잡도, 인접 기술과의 경계를 함께 판단해야 한다.

Ⅰ. 개요 및 필요성

• 시스템(웹 서버)과 사용자 간에 합법적으로 맺어져 유지되고 있는 연결(Session)을 중간에서 비정상적인 방법으로 가로채어(Hijacking), 해커가 마치 정상적인 사용자인 것처럼 행세하며 권한을 탈취하는 해킹 기법입니다.
• 공격 방식에 따라 크게 시스템(L4) 단의 TCP 세션 하이재킹과, 웹(L7) 단의 웹 세션(쿠키) 하이재킹으로 나뉩니다.

[중간자 공격 도청 흐름과 통제 조치]
    │
    ▼
[세션 하이재킹]
    │
    └──▶ [재생 공격]

• 📢 섹션 요약 비유: 세션 하이재킹은 왜 필요한지 보여주는 교통 규칙 표지판과 같다. 문제가 생긴 배경을 알면 이후 선택도 쉬워진다.

Ⅱ. 아키텍처 및 핵심 원리

클라이언트와 서버가 맺고 있는 TCP 연결 자체를 뺏어버립니다.

1. 동작 원리 (TCP 시퀀스 넘버 맞추기)

• TCP 통신은 데이터를 주고받을 때 순서가 꼬이지 않도록 Sequence Number(시퀀스 번호, 순서표)를 사용합니다.
• 해커는 스니핑을 통해 앨리스와 서버가 주고받는 이 시퀀스 번호의 흐름을 몰래 훔쳐보며 다음에 올 번호를 수학적으로 추정(예측)합니다.

2. 공격 시나리오 (RST와 가짜 패킷 인젝션)

1. 앨리스와 서버가 한참 즐겁게 통신(Session 확립)하고 있습니다.
2. 해커가 갑자기 앨리스의 컴퓨터로 뜬금없는 리셋 패킷(RST)을 던져 앨리스 컴퓨터를 통신 불능 상태(기절)로 만들어버립니다.
3. 그 찰나의 순간, 해커가 앨리스의 IP 주소로 위장(IP 스푸핑)한 뒤, 아까 미리 계산해 둔 '다음 순서표(정확한 시퀀스 번호)'를 달아서 서버에게 악성 패킷을 팍 꽂아 넣습니다.
4. 서버는 앨리스가 기절한 줄도 모르고, "오! IP도 맞고 번호표 순서도 정확하네!" 하며 해커의 패킷을 앨리스의 핏줄(세션)로 그대로 받아들여 버립니다. 통제권이 완벽히 넘어갔습니다.

• 방어법: 데이터를 IPsec이나 TLS를 통해 통째로 암호화해버리면, 해커가 겉면의 시퀀스 번호를 예측해서 중간에 끼어들어도 내용물 변조 시 MAC(무결성) 검사에 걸려 실패합니다.

[중간자 공격 도청 흐름과 통제 조치]
    │
    ▼
[세션 하이재킹]
    │
    └──▶ [재생 공격]

• 📢 섹션 요약 비유: 세션 하이재킹의 내부 원리는 기계의 톱니바퀴처럼 맞물려 돌아간다. 한 부분이 어긋나면 전체 효과가 떨어진다.

Ⅲ. 비교 및 연결

우리가 매일 쓰는 웹 사이트에서 벌어지는 악명 높은 해킹입니다.

1. 동작 원리 (세션 ID 쿠키 갈취)

• 우리가 네이버에 한 번 로그인(ID/PW 입력)하고 나면, 네이버는 우리 브라우저에 임시 통행증인 **'Session ID 쿠키'**를 구워줍니다. 이후에는 이 쿠키만 내밀면 로그인 상태가 유지됩니다.
• 해커는 XSS 공격(크로스 사이트 스크립팅)이나 공용 와이파이 스니핑을 통해 사용자의 브라우저에 저장된 이 '쿠키(Session ID) 값' 텍스트를 몰래 훔쳐갑니다.
• 해커는 자기 컴퓨터 브라우저를 켜고, 훔친 쿠키 값을 자기 브라우저에 덮어씁니다. 그리고 네이버를 열면? 비밀번호를 칠 필요도 없이 홍길동의 로그인 상태로 네이버 화면이 열려버립니다.

2. 완벽한 웹 세션 방어 기법

• HTTPS(TLS) 전면 적용: 공용 와이파이에서 날아다니는 쿠키를 훔쳐보지 못하게 통신 전체를 암호화합니다.
• Secure 속성 부여: 개발자가 쿠키를 구워줄 때 Secure 플래그를 달아두면, 브라우저는 이 쿠키를 무조건 암호화된 HTTPS 통신일 때만 밖으로 내보내어 탈취를 막습니다.
• HttpOnly 속성 부여 🌟: 해커가 XSS 악성 스크립트를 이용해 남의 쿠키를 훔쳐 가지 못하도록, 자바스크립트 코드(document.cookie)로는 절대 이 쿠키를 열어볼 수 없도록 브라우저 단에서 격리해 버리는 가장 확실한 방어 옵션입니다.

세션 하이재킹을 볼 때는 앞뒤 개념과의 경계를 함께 봐야 전체 흐름이 선명해진다. 중간자 공격 도청 흐름과 통제 조치가 기반 조건을 만든다면, 세션 하이재킹은 그 위에서 핵심 메커니즘을 구현하고, 재생 공격은 이를 더 확장된 적용 단계로 연결한다. 따라서 단일 정의보다 탐지 가능성과 복구성에 어떤 차이를 만드는지 비교하는 것이 중요하다.

• 📢 섹션 요약 비유: 세션 하이재킹은 VIP 클럽 파티장 팔찌 훔치기입니다. 힘겹게 줄을 서서 신분증 검사(로그인)를 마치고 VIP 야광 팔찌(세션 ID)를 찬 손님이 잠시 방심한 사이, 해커가 그 팔찌를 가위로 몰래 끊어내어 자기 손목에 찹니다. 그리고 클럽 가드(서버) 앞을 쓱 지나가면, 가드는 이미 밖에서 신분 확인이 다 끝난 무적의 팔찌만 보고 아무 의심 없이 해커에게 VIP 룸 문을 활짝 열어주는 기만술입니다.

Ⅳ. 실무 적용 및 기술사 판단

실무에서는 세션 하이재킹을 단독 개념으로 외우기보다 어떤 병목을 줄이기 위한 선택인지 먼저 따져야 한다. 특히 중간자 공격 도청 흐름과 통제 조치 수준의 기본 대책으로 충분한지, 아니면 세션 하이재킹이 제공하는 메커니즘이 실제로 필요한지 구분해야 한다. 이후 확장 단계에서는 재생 공격와 같은 후속 기술, 자동화 체계, 표준 호환성까지 함께 검토해야 한다.

실무 체크리스트

1. 현재 문제의 핵심이 탐지 가능성 부족인지, 복구성 악화인지 먼저 분리한다.
2. 세션 하이재킹가 추가하는 복잡도와 운영 이득이 균형을 이루는지 확인한다.
3. 도입 후에는 인접 기술인 재생 공격와의 연계 방식을 함께 검증한다.

안티패턴

• 세션 하이재킹의 장점만 보고 트래픽 패턴이나 운영 비용을 무시한 채 과도 도입하는 설계

• 중간자 공격 도청 흐름과 통제 조치와의 경계를 정리하지 않아 중복 투자나 정책 충돌을 만드는 설계

• 📢 섹션 요약 비유: 세션 하이재킹을 실제로 쓰는 판단은 도구 상자를 고르는 일과 비슷하다. 좋아 보이는 도구보다 지금 문제에 맞는 도구가 중요하다.

Ⅴ. 기대효과 및 결론

세션 하이재킹은 네트워크 보안 위협과 대응을 이해할 때 핵심 축을 잡아 주는 개념이다. 올바르게 적용하면 탐지 가능성 개선과 구조적 단순화에 기여하지만, 조건을 잘못 잡으면 오히려 복잡도와 운영 부담이 커질 수 있다. 앞으로는 재생 공격, 예측형 위협 대응, 자동화 운영과의 결합을 통해 더 정교하게 발전할 가능성이 크다. 따라서 이 개념은 정의 자체보다 “언제 쓰고 언제 다른 방법으로 넘길 것인가”의 관점으로 기억하는 것이 좋다. 향후에는 예측형 위협 대응 같은 자동화 흐름과 결합되어 더 정교한 형태로 확장될 가능성이 크다.

• 📢 섹션 요약 비유: 세션 하이재킹은 큰 흐름 속에서 기억해야 오래 남는다. 지금의 장점과 다음 확장 방향을 같이 보면 전체 그림이 선명해진다.

📌 관련 개념 맵

📈 관련 키워드 및 발전 흐름도

[선행 개념: 중간자 공격 도청 흐름과 통제 조치]
    │
    ▼
[현재 개념: 세션 하이재킹]
    │
    ├──▶ [확장 A: 재생 공격]
    └──▶ [확장 B: 예측형 위협 대응]

세션 하이재킹는 중간자 공격 도청 흐름과 통제 조치에서 출발해 현재 메커니즘을 정교화하고, 이후 재생 공격와 예측형 위협 대응 같은 확장 흐름으로 이어진다고 보면 기억이 오래간다.

👶 어린이를 위한 3줄 비유 설명

1. 나쁜 친구가 놀이터 규칙을 깨뜨리면 바로 알아차리고 막아야 해요.
2. 이 개념은 어떤 장난이 위험한지 미리 알고, 문제가 생기면 어떻게 다시 정리할지도 알려줘요.
3. 그래서 놀이터를 더 안전하게 지킬 수 있어요.