Blog

도입 – JavaScript 보안의 중요성

현대 웹 애플리케이션에서 JavaScript 보안 취약점 방지법은 개발자가 반드시 숙지해야 할 핵심 기술입니다. 해커들의 공격 기법이 날로 정교해지면서 XSS, SQL Injection, CSRF 등 다양한 보안 위협이 증가하고 있습니다. 본 가이드에서는 실무에서 즉시 적용할 수 있는 JavaScript 보안 취약점 방지법을 통해 안전한 웹 애플리케이션을 구축하는 방법을 소개합니다. 이러한 보안 기법들을 적절히 활용하면 사용자 데이터를 보호하고 서비스의 신뢰성을 크게 향상시킬 수 있습니다.

핵심 팁 10가지

1. XSS(Cross-Site Scripting) 방어

사용자 입력값을 DOM에 삽입할 때는 반드시 이스케이프 처리를 해야 합니다. innerHTML 대신 textContent를 사용하거나 DOMPurify 같은 라이브러리로 HTML을 정제하세요. 특히 사용자가 입력한 데이터를 화면에 표시할 때는 HTML 태그가 실행되지 않도록 주의해야 합니다.

// 나쁜 예
element.innerHTML = userInput;

// 좋은 예
element.textContent = userInput;
// 또는
const cleanHTML = DOMPurify.sanitize(userInput);
element.innerHTML = cleanHTML;

2. Content Security Policy (CSP) 설정

CSP 헤더를 설정하여 외부 스크립트 실행을 제한하고 인라인 스크립트를 차단할 수 있습니다. 이는 XSS 공격의 영향을 최소화하는 강력한 방어 메커니즘입니다. 서버 설정이나 메타 태그를 통해 신뢰할 수 있는 소스만 허용하도록 구성하세요.

// HTTP 헤더 설정 예시
Content-Security-Policy: default-src 'self'; script-src 'self' https://trusted-cdn.com;

// 메타 태그 사용
// <meta http-equiv="Content-Security-Policy" content="default-src 'self'">

3. 입력값 검증 및 필터링

클라이언트와 서버 양쪽에서 모든 사용자 입력을 검증해야 합니다. 정규식을 활용해 허용되는 문자만 받아들이고, 길이 제한을 설정하며, 화이트리스트 방식으로 유효성을 검사하세요. 클라이언트 검증만으로는 불충분하므로 서버 측 검증이 필수입니다.

function validateEmail(email) {
  const emailRegex = /^[a-zA-Z0-9._-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,6}$/;
  if (!emailRegex.test(email)) {
    throw new Error('유효하지 않은 이메일 형식입니다');
  }
  return email.trim().toLowerCase();
}

4. CSRF(Cross-Site Request Forgery) 방지

모든 상태 변경 요청에 CSRF 토큰을 포함시켜 외부 사이트에서의 악의적인 요청을 차단하세요. SameSite 쿠키 속성을 설정하고, 민감한 작업에는 재인증을 요구하는 것도 효과적입니다. POST 요청에만 토큰을 검증하는 것이 일반적입니다.

// CSRF 토큰 생성 및 전송
const csrfToken = document.querySelector('meta[name="csrf-token"]').content;

fetch('/api/update', {
  method: 'POST',
  headers: {
    'Content-Type': 'application/json',
    'X-CSRF-Token': csrfToken
  },
  body: JSON.stringify(data)
});

5. 안전한 데이터 저장

민감한 정보를 localStorage나 sessionStorage에 평문으로 저장하지 마세요. 토큰은 HttpOnly 쿠키에 저장하고, 필요시 암호화하여 저장해야 합니다. 특히 인증 토큰이나 개인정보는 JavaScript로 접근할 수 없는 안전한 방식으로 관리하세요.

// 나쁜 예
localStorage.setItem('authToken', token);

// 좋은 예 - HttpOnly 쿠키 사용 (서버 설정)
// Set-Cookie: token=value; HttpOnly; Secure; SameSite=Strict

// 암호화가 필요한 경우
const encryptedData = await crypto.subtle.encrypt(algorithm, key, data);

6. eval() 및 동적 코드 실행 금지

eval(), new Function(), setTimeout(string) 같은 동적 코드 실행 함수는 절대 사용하지 마세요. 이들은 코드 인젝션 공격의 주요 경로입니다. 대신 JSON.parse()나 안전한 대안을 사용하여 데이터를 처리하세요.

// 나쁜 예
eval('const result = ' + userInput);
setTimeout('alert("Hello")', 1000);

// 좋은 예
const result = JSON.parse(userInput);
setTimeout(() => alert('Hello'), 1000);

7. 의존성 관리 및 업데이트

npm audit으로 정기적으로 취약점을 점검하고, 의존성 패키지를 최신 버전으로 유지하세요. Snyk나 Dependabot 같은 도구를 활용하면 자동으로 보안 취약점을 탐지하고 알림을 받을 수 있습니다. 사용하지 않는 패키지는 즉시 제거하세요.

// 정기적인 보안 점검
npm audit
npm audit fix

// package.json 업데이트
npm outdated
npm update

// Snyk 사용
npx snyk test

8. 안전한 API 통신

항상 HTTPS를 사용하고, API 요청에는 인증 토큰을 포함하며, CORS 설정을 엄격하게 관리하세요. API 응답에는 민감한 정보를 최소화하고, 에러 메시지에서 시스템 정보가 노출되지 않도록 주의하세요.

// 안전한 API 호출
const fetchData = async () => {
  try {
    const response = await fetch('https://api.example.com/data', {
      method: 'GET',
      headers: {
        'Authorization': `Bearer ${token}`,
        'Content-Type': 'application/json'
      },
      credentials: 'include'
    });
    
    if (!response.ok) {
      throw new Error('API 요청 실패');
    }
    
    return await response.json();
  } catch (error) {
    console.error('에러 발생:', error.message); // 상세 정보 노출 금지
  }
};

9. 클릭재킹(Clickjacking) 방지

X-Frame-Options 헤더나 CSP의 frame-ancestors 지시어를 설정하여 악의적인 사이트에서 iframe으로 페이지를 삽입하는 것을 방지하세요. 이는 사용자가 모르는 사이에 클릭을 유도하는 공격을 차단합니다.

// 서버 헤더 설정
X-Frame-Options: DENY
// 또는
Content-Security-Policy: frame-ancestors 'none'

// JavaScript로 확인
if (window.top !== window.self) {
  window.top.location = window.self.location;
}

10. 보안 헤더 설정

Strict-Transport-Security, X-Content-Type-Options, Referrer-Policy 등의 보안 헤더를 설정하여 다양한 공격 벡터를 차단하세요. 이러한 헤더들은 브라우저가 보안 정책을 강제하도록 만들어 추가적인 보호 계층을 제공합니다.

// 주요 보안 헤더 설정 예시
Strict-Transport-Security: max-age=31536000; includeSubDomains
X-Content-Type-Options: nosniff
X-XSS-Protection: 1; mode=block
Referrer-Policy: strict-origin-when-cross-origin
Permissions-Policy: geolocation=(), microphone=(), camera=()

실제 적용 사례

한 전자상거래 플랫폼에서 사용자 리뷰 기능에 XSS 취약점이 발견되었습니다. 공격자가 악성 스크립트를 리뷰에 삽입하여 다른 사용자의 세션을 탈취하려 시도했습니다. 개발팀은 즉시 DOMPurify를 도입하여 모든 사용자 입력을 정제하고, CSP 헤더를 설정했습니다. 또한 CSRF 토큰을 모든 폼에 추가하고, HttpOnly 쿠키로 인증 토큰을 관리하도록 변경했습니다. 그 결과 보안 취약점이 완전히 해결되었고, 이후 정기적인 보안 점검을 통해 안전한 서비스를 유지하고 있습니다. npm audit를 CI/CD 파이프라인에 통합하여 의존성 취약점도 자동으로 감지하게 되었으며, 월 1회 보안 교육을 실시하여 개발자들의 보안 의식도 크게 향상되었습니다.

주의사항 및 베스트 프랙티스

JavaScript 보안 취약점 방지법을 적용할 때는 클라이언트 측 보안만으로는 충분하지 않다는 점을 명심하세요. 서버 측 검증과 보안 설정이 필수이며, 보안은 한 번의 설정이 아닌 지속적인 관리 프로세스입니다. 정기적인 보안 점검, 코드 리뷰, 침투 테스트를 통해 새로운 취약점을 조기에 발견하고 대응하세요. 또한 OWASP Top 10 같은 보안 가이드라인을 참고하여 최신 보안 트렌드를 파악하는 것이 중요합니다.

마무리 및 추가 팁

JavaScript 보안 취약점 방지법을 실천하면 안전하고 신뢰할 수 있는 웹 애플리케이션을 구축할 수 있습니다. 보안 라이브러리 활용, 정기적인 교육, 자동화된 보안 테스트 도구 도입으로 보안 수준을 한 단계 높이세요. 사용자의 데이터를 보호하는 것이 개발자의 가장 중요한 책임임을 잊지 마세요.