당신의 로그인 상태가 노출된다면? 세션 하이재킹(Session Hijacking)이란

로그인한 웹사이트에서 아무 일도 하지 않았는데, 갑자기 다른 사용자의 계정 정보가 보인다면?
혹은 내 계정으로 이상한 활동이 기록된다면?
이는 단순한 시스템 오류가 아니라, 해커가 당신의 세션을 탈취했기 때문일 수 있다.

이처럼 웹 보안에서 치명적인 공격 방식 중 하나가 바로 '세션 하이재킹(Session Hijacking)'이다.
그 개념부터 원리, 예방 방법까지 쉽게 이해해 보자.

세션(Session) 이란?

세션 하이제킹을 이해하기 위해서는, 먼저 세션이 무엇인지에 대해 알아야 한다.

세션은 사용자가 로그인한 이후, 로그아웃하기 전까지의 연결 상태를 말한다.

서버는 이 세션을 통해 사용자의 인증 상태를 유지하며, 일반적으로 고유한 세션 ID를 부여해 사용자를 식별한다.

 

세션 하이재킹(Session Hijacking)이란?

그렇다면 세션 하이재킹은 어떤 공격일까?

세션 하이재킹은 공격자가 타인의 세션 ID를 탈취하여, 해당 사용자인 것처럼 가장해 시스템에 접근하는 공격 기법이다.

인증 절차를 우회하여 로그인하지 않아도 피해자의 권한을 그대로 사용할 수 있게 된다.

 

 

세션 하이재킹 공격법

세션 하이재킹은 결국, 로그인된 세션을 탈취하는 것이다.

 

예를 들어보자.

카카오톡 PC버전을 로그인하고, 사용 중인 상태인데, 해커가 원격에서 내 화면과 키보드, 마우스를 제어할 수 있다고 가정해 보자.

내가 잠시 자리를 비운다면, 그 상태는 해커가 내 카카오톡으로 무슨 짓이든지 할 수 있다. 즉 카카오톡 로그인된 세션을 공격자가 가지고 있는 상태이다. 이 상태를 세션 하이재킹이라고 볼 수 있다.

 

• 세션 스니핑(Session Sniffing): 암호화되지 않은 네트워크에서 세션 ID를 가로채는 방식
• 세션 고정(Session Fixation): 공격자가 세션 ID를 미리 설정하고, 사용자가 이를 사용하도록 유도함
• XSS(크로스 사이트 스크립팅): 악성 스크립트를 통해 피해자의 브라우저에서 세션 정보를 추출
• 물리적 탈취: 공개된 PC나 공용 Wi-Fi 환경에서 브라우저 세션 쿠키를 직접 훔침

세션 하이재킹의 예상 시나리오는 다음 순서를 참고하면 이해하기 쉽다.

1. 사용자가 공공 Wi-Fi에서 인터넷 뱅킹 로그인
2. 공격자가 같은 네트워크에서 트래픽을 모니터링해 세션 쿠키를 탈취
3. 공격자는 해당 쿠키를 자신의 브라우저에 삽입하여 피해자 계정에 무단 접속

 

세션 하이재킹이 위험한 이유?

세션 하이재킹 공격이 위험한 가장 큰 특징은, 사용자가 아무리 비밀번호를 어렵게 설정해서 공격자가 사용자 로그인 정보를 몰라도 계정에 접근이 가능하다는 점이다.

• 공격자는 사용자의 로그인 정보를 몰라도 계정에 접근 가능
• 보안 시스템은 정상적인 사용자의 활동으로 인식함
• 결제, 개인정보 열람, 설정 변경 등 민감한 작업이 피해자의 이름으로 수행될 수 있음

 

세션 하이재킹의 대응과 예방

세션 하이재킹은 내가 사용하는 화면, 브라우저에서 탈취당할 가능성이 높다. 따라서 웹 보안과 세션 만료 기간, 비밀번호 외에 추가 인증을 통해 예방하는 것이 좋다.

• HTTPS(SSL/TLS) 전면 적용: 세션 ID를 암호화된 채널로만 전달
• 세션 쿠키에 HttpOnly, Secure 속성 설정
• 세션 만료 시간 설정 및 사용자 활동 감지
• 의심 활동 감지 시 즉시 세션 무효화 처리
• 2단계 인증(2FA) 도입으로 추가 인증 수단 확보

---

세션 하이재킹은 사용자의 인증 상태를 가로채 시스템에 침투하는 매우 위험한 공격 방식이다.

기술적으로 어렵지 않으면서도 파괴력이 크기 때문에, 사용자와 개발자 모두가 이에 대한 경각심과 대응 전략을 갖추는 것이 중요하다. 안전한 온라인 생활을 위해 세션 보안은 선택이 아닌 필수다.

 

#세션하이재킹 #웹보안 #세션보안 #쿠키탈취 #HTTPS #2FA #세션고정 #보안기초 #웹개발