Dachae's DevLogs

DRM(Digital Rights Management, 디지털 권리 관리) 디지털 콘텐츠가 범람하는 시대, 그 콘텐츠의 ‘소유권’과 ‘사용 권한’을 어떻게 보호할 것인가는 매우 중요한 문제입니다. 음악, 영화, 전자책, 소프트웨어 등 수많은 디지털 자산이 복사, 배포, 해킹에 노출되면서, 이를 보호하기 위한 기술이 필요해졌습니다. 그 중심에 있는 것이 바로 DRM(Digital Rights Management, 디지털 권리 관리)입니다. DRM은 디지털 콘텐츠의 불법 복제 및 무단 사용을 막기 위해 고안된 기술로, 콘텐츠에 사용 권한을 설정하고 제어하는 역할을 합니다. 1. DRM이란?DRM(Digital Rights Management)은 디지털 콘텐츠의 저작권을 보호하고, 콘텐츠 이용자의 접근 권한..

ARP 스푸핑 공격 ARP는 로컬 네트워크에서 IP 주소와 MAC 주소를 연결하는 데 사용되는 필수 프로토콜입니다. 하지만 신뢰 기반으로 설계된 이 프로토콜에는 본질적인 보안 취약점이 있습니다. 바로 이 점을 노리는 공격이 ARP 스푸핑(ARP Spoofing)입니다. 1. ARP 스푸핑이란?ARP 스푸핑(ARP Spoofing)은 공격자가 위조된 ARP 패킷을 네트워크에 보내 다른 장비의 ARP 캐시를 속이는 공격입니다. 쉽게 말해, "나(MAC 주소)는 저 IP야!"라고 거짓말을 하는 것입니다.이 공격은 로컬 네트워크에서 이루어지며, IP 주소와 MAC 주소의 신뢰 관계를 악용하여 트래픽을 가로채거나 조작할 수 있게 합니다.ARP 스푸핑의 위험성데이터 도청 (Sniffing) : 로그인 정보, 인증..

세션 쿠키(Session Cookie) 웹사이트에서 로그인한 뒤 브라우저를 껐다 켰더니 로그인이 풀린 경험, 한 번쯤 있으셨을 거예요. 이는 대부분 세션 쿠키(Session Cookie) 때문입니다. 세션 쿠키는 사용자 인증과 세션 유지의 핵심 도구로, 일시적인 정보 저장에 적합합니다.이 글에서는 세션 쿠키의 개념과 특징, 일반 쿠키와의 차이, 그리고 개발 시 언제 세션 쿠키를 사용할지에 대해 자세히 설명합니다. 1. 세션 쿠키란?세션쿠키는 브라우저가 켜져 있는 동안만 유지되는 쿠키입니다. 즉, 사용자가 브라우저를 닫는 순간 쿠키는 자동으로 삭제됩니다.저장 위치 : 사용자의 브라우저 메모리만료 시점 : 브라우저 종료 시사용 예시 : 로그인 세션, 임시 필터 정보, 쇼핑 카트 임시 저장 등세션 쿠키의 동..

세션 하이재킹(Session Hijacking) 웹 애플리케이션의 보안에서 세션은 사용자의 신뢰와 인증을 유지하는 핵심 요소입니다. 하지만 이 세션이 공격자에게 탈취된다면? 사용자는 모르게 로그인 정보가 털리고, 민감한 정보가 유출될 수 있습니다.이 글에서는 세션 하이재킹(Session Hijacking)의 개념과 종류, 방어 방법에 대해 깊이 있게 설명합니다. 1. 세션 하이재킹이란?세션(Session)은 사용자가 로그인 등 인증 과정을 완료한 뒤, 서버가 사용자를 식별하기 위해 유지하는 상태 정보입니다. 세션 하이재킹(Session Hijacking)은 공격자가 사용자의 세션을 가로채서, 그 세션을 도용하는 공격 기법을 의미합니다.즉, 인증된 사용자인 척하면서 웹 애플리케이션에 접근해 민감한 정보를..

Access Token과 Refresh Token JWT 기반 인증 시스템에서 가장 많이 나오는 개념 중 하나가 바로 Access Token과 Refresh Token입니다. 이 두 토큰은 모두 인가(Authorization)와 관련이 있지만 역할과 사용 목적이 분명히 다릅니다.이 글에서는 Access Token과 Refresh Token의 차이, 각각의 동작 방식, 사용 예제와 함께 보안적으로 어떻게 구성해야 하는지까지 자세히 설명합니다. 1. Access Token이란?Access Token은 사용자가 인증된 상태임을 증명하는 토큰으로, 실제 API 요청 시 서버에 전달되는 인증 정보입니다.특징보통 JWT 형식으로, 사용자 ID, 권한, 만료 시간 등의 정보 포함유효 시간이 짧아 탈취되더라도 피해 ..

JWT - Header, Payload, Signature JWT(JSON Web Token)는 사용자 인증과 권한 부여를 위한 대표적인 토큰 기반 방식입니다. 많은 개발자들이 JWT를 사용하면서도 "헤더, 페이로드, 서명이 각각 무슨 역할을 하는지"는 모호하게 아는 경우가 많습니다.이 글에서는 JWT를 구성하는 세 요소인 Header, Payload, Signature를 하나씩 뜯어보며, 구조, 역할, 보안상의 유의점까지 완벽하게 이해할 수 있도록 설명합니다. 1. JWT의 전체 구조JWT는 .으로 구분된 세 개의 문자열로 구성됩니다...eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9. ← HeadereyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkFsaWNlI..

JWT (JSON Web Token) 웹 애플리케이션에서 로그인 후 사용자 인증 상태를 어떻게 유지할까요? 세션? 쿠키? 이 외에도 현대적인 방식으로 널리 사용되는 것이 바로 JWT(JSON Web Token)입니다.이 글에서는 JWT의 구조, 동작 원리, 장단점, 그리고 실제 코드 예제까지 포함하여, 실전에서 JWT를 활용할 수 있도록 체계적으로 정리합니다. 1. JWT란?JWT(JSON Web Token)는 사용자의 인증 정보를 JSON 형식으로 안전하게 전달하기 위한 토큰 기반 인증 방식입니다.서버는 사용자가 로그인에 성공하면 JWT를 생성해 클라이언트에 전달하고, 클라이언트는 이후 요청마다 이 토큰을 HTTP 헤더에 담아 서버에 전송합니다. 서버는 이 토큰을 검증해 사용자 인증을 처리합니다.JW..

OpenID Connect (OIDC) OAuth는 인가(Authorization)를 위한 프로토콜이지, 사용자의 신원 확인(로그인) 기능은 없었습니다. 그 공백을 채우기 위해 등장한 것이 바로 OpenID Connect (OIDC)입니다.이 글에서는 OIDC가 어떤 배경에서 나왔고, OAuth와 어떤 관계인지, 실제로 어떤 정보를 제공하는지 정리합니다. 1. OpenID Connect란?OpenID Connect (OIDC)는 OAuth 2.0 위에 구축된 인증(Authentication) 프로토콜입니다.OIDC는 사용자의 신원을 확인하고, 그 정보를 표준화된 방식으로 전달해주는 역할을 합니다.OAuth는 접근 권한을 다루는 반면, OIDC는 누가 로그인했는지를 알려줍니다. 2. OIDC가 OAut..

OAuth (Open Authorization) “구글 로그인은 OAuth 기술로 구현되니까, OAuth는 로그인 인증 프로토콜이다?” 많은 개발자들이 이렇게 오해합니다.하지만 진실은 조금 다릅니다. OAuth는 로그인(Authentication) 기술이 아닙니다. OAuth는 인증(Authentication) 기술이 아니라 인가(Authorization) 프로토콜입니다.이번 글에서는 OAuth와 인증의 차이, 그리고 이를 보완하는 OpenID Connect (OIDC)에 대해 알아보겠습니다. 1.  OAuth는 인증 기술이 아니다?OAuth는 본질적으로 권한 위임(Authorization)을 위한 프로토콜입니다. 즉, 제3의 애플리케이션(클라이언트)이 사용자의 자원에 제한된 권한으로 접근할 수 있도록 ..

OAuth (Open Authorization) 현대 웹서비스에서 흔히 볼 수 있는 Google로 로그인, Kakao로 시작하기 같은 기능은 어떻게 작동할까요? 바로 이럴 때 사용하는 기술이 OAuth(Open Authorization)입니다. 이 글에서는 OAuth가 무엇인지, 왜 필요하며, 어떻게 동작하는지를 쉽고 명확하게 설명합니다. OAuth는 현재 대부분 OAuth 2.0 버전을 의미하며, 이 글에서도 OAuth 2.0 기준으로 설명합니다. 1. OAuth란?OAuth는 Open Authorization의 약자로, 타사 애플리케이션이 사용자의 비밀번호를 알지 않고도 자원에 접근할 수 있게 해주는 권한 위임 프로토콜입니다.예를 들어 어떤 웹사이트가 사용자의 구글 드라이브에서 파일을 가져오고 싶어..

CSRF와 XSS 웹 애플리케이션을 개발하면서 반드시 고려해야 할 것이 바로 보안입니다. 특히 CSRF(Cross-Site Request Forgery)와 XSS(Cross-Site Scripting)는 자주 언급되지만, 정확한 차이나 방어 방법이 헷갈리기 쉬운 주제입니다. 이 글에서는 두 공격의 개념과 차이점, 실제 예시, 그리고 효과적인 대응 방안을 상세히 정리해 보겠습니다. 1. CSRF (Cross-Site Request Forgery)란?CSRF는 사용자가 인증된 상태를 악용해, 사용자의 의도와 무관하게 서버에 요청을 보내는 공격입니다. 보통 사용자가 로그인된 사이트의 세션 쿠키를 이용해 악성 사이트가 서버에 요청을 보내는 방식으로 이루어집니다.예시 위와 같은 코드를 포함한 피싱 페이지에 접..

SOP와 CORS Access to XMLHttpRequest at 'https://api.example.com/data' from origin 'http://localhost:3000' has been blocked by CORS policy...무슨 말인지 모를 긴 오류 메시지. 이건 바로 SOP(Same-Origin Policy, 동일 출처 정책) 와 CORS(Cross-Origin Resource Sharing, 교차 출처 리소스 공유) 때문에 발생하는 것입니다.이 글에서는 웹 브라우저의 보안 모델 중 핵심 개념인 SOP와 CORS를 쉽게 설명하고, 실무에서 마주치는 문제들을 어떻게 해결할 수 있는지 알아보겠습니다. 1. SOP (동일 출처 정책)란?Same-Origin Policy (SOP)..