안녕하세요, 15년 차 개발자이자 여러분의 보안 멘토입니다.
반갑습니다, 여러분. 오늘 우리는 웹 보안의 세계에서 가장 흥미로우면서도 강력한 도구인 버프 스위트(Burp Suite)를 활용한 모의 해킹, 그중에서도 SQL 인젝션(SQL Injection) 탐지 방법에 대해 아주 깊이 있게 파고들 예정입니다. 솔직히 말씀드리면, 제가 처음 보안 공부를 시작했을 때 가장 막막했던 것이 바로 이 '프록시 도구'의 활용이었습니다. "트래픽을 가로챈다"는 개념이 마치 영화 속 해커들의 이야기처럼 멀게만 느껴졌거든요. 하지만 원리를 알고 나니, 개발자로서 제가 짠 코드가 얼마나 취약했는지 깨닫고 등골이 서늘했던 기억이 납니다. 😅
오늘 이 가이드는 단순한 튜토리얼이 아닙니다. 제가 수많은 프로젝트와 보안 감사를 진행하며 겪었던 시행착오, 그리고 실무에서 정말로 통하는 노하우를 꽉꽉 눌러 담았습니다. 여러분이 이 글을 다 읽고 나면, 단순히 툴을 사용하는 것을 넘어 웹 애플리케이션이 데이터를 주고받는 '보이지 않는 대화'를 엿듣고, 그 대화 속에 숨겨진 치명적인 약점을 찾아내는 능력을 갖추게 될 것입니다. 마치 의사가 청진기를 대고 환자의 숨소리를 듣는 것처럼, 우리도 웹 서버의 숨소리를 들어보자고요. 🩺
혹시 "나는 개발자인데 해킹까지 알아야 하나?"라고 생각하시나요? 장담하건대, 공격하는 법을 아는 개발자가 만든 방패는 뚫리지 않습니다. OWASP Top 10에서 여전히 상위권을 차지하는 'Injection' 공격을 막으려면, 그 공격이 어떻게 들어오는지 뼈저리게 알아야 합니다. 오늘 우리가 다룰 내용은 실제 현업에서 보안 팀이 수행하는 모의 해킹 프로세스와 99% 일치합니다. 준비되셨나요? 커피 한 잔 진하게 타 오시고, 이제 웹의 이면(Backstage)으로 함께 들어가 봅시다. ☕️🚀
1. 웹의 투명망토를 벗기다: 프록시(Proxy)와 버프 스위트의 원리
프록시 서버: 인터넷 세상의 '중개인'이자 '조작자'
본격적인 실습에 앞서, 우리가 사용할 무기인 '버프 스위트'가 도대체 어떤 원리로 작동하는지 확실히 짚고 넘어가야 합니다. 많은 분이 단순히 설치하고 버튼만 누르는데, 원리를 모르면 문제 해결이 불가능합니다. 웹 브라우저(크롬, 사파리 등)와 웹 서버(네이버, 구글 등)는 서로 HTTP라는 언어로 대화를 나눕니다. 보통 이 대화는 눈 깜짝할 새에 지나가고, 우리 눈에는 보이지 않죠. 그런데 이 둘 사이에 누군가 끼어들어 편지를 가로채서 읽어보고, 심지어 내용을 바꿔서 다시 보낸다면 어떨까요? 이것이 바로 프록시(Proxy)의 핵심 개념입니다.
버프 스위트는 여러분의 컴퓨터 내에서 작동하는 '로컬 프록시 서버'입니다. 브라우저가 서버로 요청(Request)을 보낼 때, 곧바로 서버로 가는 것이 아니라 먼저 버프 스위트를 거치게 설정합니다. 이때 버프 스위트는 시간을 멈춥니다. 네, 정말로요. ⏳ 브라우저가 보낸 요청 패킷을 허공에 딱 멈춰 세우고, 해커(바로 여러분)가 그 내용을 수정할 때까지 대기합니다. 여러분이 내용을 수정한 뒤 "전송(Forward)" 버튼을 누르면 그제야 변조된 데이터가 서버로 날아갑니다. 이 과정에서 우리는 GET, POST 메서드뿐만 아니라 헤더(Header), 쿠키(Cookie)까지 모든 것을 통제할 수 있습니다.
이 과정이 왜 중요할까요? 웹 브라우저의 프론트엔드단(HTML/JavaScript)에서는 사용자가 입력할 수 있는 값을 제한할 수 있습니다. 예를 들어, "수량" 칸에 숫자만 입력하게 막거나, "아이디" 칸에 특수문자를 못 쓰게 할 수 있죠. 하지만 프록시를 통해 패킷을 가로채면, 이런 프론트엔드의 방어막을 완전히 무시할 수 있습니다. 서버로 날아가는 날것 그대로의 데이터를 조작하기 때문입니다. 이것이 바로 공격자가 개발자의 예상을 뛰어넘는 데이터를 서버에 주입할 수 있는 근본적인 이유입니다. 데이터 검증은 반드시 '서버 사이드'에서 이루어져야 한다는 보안의 대원칙이 여기서 나옵니다.
실무에서 제가 겪은 일화를 하나 말씀드릴게요. 한 대형 쇼핑몰 사이트였는데, 결제 화면에서 상품 가격이 `readonly` 속성으로 되어 있어 HTML 상에서는 수정이 불가능해 보였습니다. 하지만 버프 스위트로 결제 요청 패킷을 잡아서 가격 파라미터인 `price=50000`을 `price=100`으로 바꿔서 서버로 보냈더니, 정말로 100원에 결제가 되어버린 황당한 사건이 있었습니다. 서버에서 가격 검증을 다시 하지 않았던 거죠. 이처럼 프록시는 "보이는 것이 전부가 아니다"라는 사실을 증명해 주는 도구입니다.
결국 버프 스위트는 웹 애플리케이션의 '민낯'을 보는 도구입니다. 암호화된 HTTPS 통신조차도 버프 스위트의 인증서(CA Certificate)를 설치하면 복호화해서 평문으로 볼 수 있습니다. 이것은 마치 밀봉된 편지를 뜯어보고 다시 새 봉투에 담아 보내는 것과 같습니다. 이제 우리는 이 강력한 힘을 이용해 SQL 인젝션이라는 괴물을 찾아낼 것입니다.
2. 실전 환경 구축: 버프 스위트와 브라우저의 연결
초기 설정과 인증서 트러블슈팅 완전 정복
많은 초보자가 여기서 첫 번째 좌절을 겪습니다. "버프 스위트를 켰는데 인터넷이 안 돼요!" 혹은 "자물쇠 모양에 빨간 줄이 그어져요!" 😭 걱정 마세요. 이건 지극히 정상적인 과정입니다. 앞서 말씀드렸듯, 우리가 중간에서 통신을 가로채려면 브라우저가 우리를 신뢰하게 만들어야 합니다. HTTPS 통신은 보안이 생명인데, 중간자가 끼어들면 브라우저는 이를 '공격'으로 간주하고 차단하거든요. 그래서 우리는 브라우저에게 "이 버프 스위트라는 친구는 믿을 만한 녀석이야"라고 알려주는 작업, 즉 CA 인증서 설치를 해야 합니다.
먼저 버프 스위트를 실행하고 'Proxy' 탭의 'Proxy Settings'에서 리스너가 '127.0.0.1:8080'으로 잡혀 있는지 확인합니다. 그리고 브라우저의 네트워크 설정에서 프록시 서버를 동일하게 '127.0.0.1'과 포트 '8080'으로 맞춥니다. 이렇게 하면 브라우저의 모든 데이터가 버프 스위트라는 톨게이트를 지나가게 됩니다. 하지만 요즘 웹은 90% 이상 HTTPS를 씁니다. 인증서 없이는 구글, 네이버 접속조차 불가능합니다.
브라우저 주소창에 `http://burp`를 입력하여 인증서를 다운로드하고, 이를 브라우저나 OS의 '신뢰할 수 있는 루트 인증 기관' 저장소에 등록해야 합니다. 이 과정이 귀찮다면 버프 스위트에 내장된 전용 브라우저(Open Browser)를 사용하는 것도 꿀팁입니다. 설정이 다 되어 있거든요. 하지만 실무에서는 특정 브라우저(크롬, 파이어폭스, 엣지 등) 환경을 테스트해야 할 때가 많으므로 수동 설정법도 반드시 익혀두셔야 합니다.
📋 단계별 실행 가이드: 완벽한 환경 구축
- 1단계: 버프 스위트 실행 및 리스너 확인
Burp Suite Community Edition(무료)을 실행합니다. [Proxy] -> [Proxy Settings] 탭으로 이동하여 'Proxy Listeners' 목록에 '127.0.0.1:8080'이 'Running' 상태인지 체크합니다. 체크가 해제되어 있다면 다른 프로그램(Skype, Oracle 등)이 8080 포트를 쓰고 있을 확률이 높으니 포트를 8081 등으로 변경하세요.
- 2단계: 브라우저 프록시 설정 (FoxyProxy 추천)
매번 브라우저 설정을 바꾸는 건 매우 번거롭습니다. 크롬 확장 프로그램인 'FoxyProxy Standard'를 설치하세요. 여기에 버프 스위트 설정(IP: 127.0.0.1, Port: 8080)을 등록해 두면 클릭 한 번으로 프록시를 켰다 껐다 할 수 있습니다. 3초면 끝납니다. ⏱️
- 3단계: CA 인증서 설치 (가장 중요!)
프록시가 켜진 상태에서 주소창에 `http://burp`를 입력합니다. 우측 상단 'CA Certificate'를 클릭해 `.der` 파일을 다운로드합니다. 크롬 설정 -> 개인정보 및 보안 -> 보안 -> 인증서 관리 -> '신뢰할 수 있는 루트 인증 기관' 탭에 이 파일을 가져오기(Import) 합니다. 이걸 안 하면 HTTPS 사이트 접속 시 "연결이 비공개로 설정되어 있지 않습니다"라는 에러를 만나게 됩니다.
- 4단계: 트래픽 가로채기 테스트
버프 스위트의 [Proxy] -> [Intercept] 탭에서 'Intercept is on' 버튼이 눌려 있는지 확인합니다. 이제 브라우저에서 아무 사이트나 접속해 보세요. 브라우저는 로딩 중으로 멈춰 있고, 버프 스위트 화면에 알 수 없는 영어 텍스트(HTTP Request)가 뜬다면 성공입니다! 이제 여러분은 인터넷을 멈출 수 있는 능력을 얻었습니다.
3. 공격 시나리오: SQL 인젝션 파라미터 변조의 기술
파라미터 변조: 데이터베이스를 속이는 거짓말
자, 이제 환경이 갖춰졌으니 본격적으로 사냥을 나설 차례입니다. SQL 인젝션은 웹 애플리케이션이 사용자로부터 입력받은 데이터를 데이터베이스 쿼리문(SQL)에 포함시킬 때, 적절한 검증을 거치지 않아 발생하는 취약점입니다. 우리는 버프 스위트를 이용해 정상적인 데이터 대신, SQL 문법을 망가뜨리거나 조작하는 특수 문자를 주입할 것입니다. 이 과정을 '파라미터 변조'라고 합니다.
가장 먼저 찾아야 할 것은 사용자의 입력값이 서버로 전달되는 지점입니다. URL의 쿼리 스트링(예: `?id=1`), 로그인 폼의 Input 태그, 검색창, 심지어는 HTTP 헤더의 User-Agent나 Cookie 값도 공격 대상이 될 수 있습니다. 버프 스위트의 Intercept 기능을 켜고 웹 사이트를 돌아다니며, 서버로 전송되는 모든 요청을 꼼꼼히 살펴보세요. `id`, `search`, `category`, `page` 같은 파라미터 이름이 보인다면 그곳이 바로 급소일 가능성이 높습니다.
우리의 목표는 쿼리의 논리 구조를 바꾸는 것입니다. 예를 들어, 로그인 쿼리가 `SELECT * FROM users WHERE id='user'
댓글
댓글 쓰기