July 16, 2025

🛡️ 민감한 데이터 클라이언트 스토리지 오남용: XSS 공격의 먹잇감

JavaScript

보안

웹표준

에러처리

Summary

민감한 데이터를 localStorage나 sessionStorage에 직접 저장하는 것은 XSS 공격에 취약하여 심각한 보안 위험을 초래합니다. 인증 토큰은 HttpOnly 쿠키를 사용하고, 민감한 사용자 정보는 클라이언트 측에 저장하지 않거나 암호화하여 최소한의 필요한 정보만 저장하며, localStorage는 비민감성 데이터에만 활용해야 합니다.

Why Wrong?

민감한 데이터(예: 인증 토큰, 사용자 ID, 개인 정보)를 localStorage나 sessionStorage에 직접 저장하는 것은 XSS(Cross-Site Scripting) 공격에 노출되어 심각한 보안 취약점을 만듭니다. HttpOnly 플래그가 설정된 쿠키와 달리, localStorage와 sessionStorage에 저장된 데이터는 클라이언트 측 JavaScript에서 손쉽게 접근하고 수정할 수 있습니다. 악의적인 스크립트가 주입되면 이 데이터를 탈취하거나 변조하여 세션 하이재킹, 데이터 도난, 권한 없는 접근 등의 문제를 야기할 수 있습니다. 또한, 이들 스토리지는 동기적으로 작동하여 대량의 데이터에 빈번하게 접근할 경우 메인 스레드를 차단하여 UI 성능 저하를 일으킬 수 있습니다.

How to Fix?

인증 토큰 관리: 인증 토큰(예: JWT)은 클라이언트 측 JavaScript가 직접 접근할 수 없는 HttpOnly 플래그가 설정된 쿠키를 통해 관리해야 합니다. HttpOnly 쿠키는 XSS 공격으로부터 토큰을 보호하는 데 효과적입니다. 추가적으로 Secure 플래그를 사용하여 HTTPS 연결에서만 전송되도록 하고, SameSite 속성을 설정하여 CSRF 공격을 방지하는 것이 좋습니다. 2. 민감한 사용자 데이터: 개인 식별 정보(PII)나 금융 정보와 같이 진정으로 민감한 사용자 데이터는 클라이언트 측에 저장하는 것을 최대한 피해야 합니다. 필요한 경우 서버 측에 저장하고, 어쩔 수 없이 클라이언트 스토리지에 저장해야 한다면 저장 전 강력하게 암호화하고, 사용 후 즉시 삭제하는 등의 조치를 취해야 하지만, 이 경우에도 여전히 보안 위험이 존재함을 인지해야 합니다. 3. 비민감성 데이터 활용: localStorage는 사용자 테마 설정, UI 레이아웃 선호도, 비활성 캐시 데이터와 같이 보안에 민감하지 않은 사용자 환경 설정이나 자주 접근하는 정적 데이터 캐싱에 적합합니다. 4. 대용량 및 복잡한 데이터 관리: 더 많은 저장 용량과 트랜잭션, 인덱싱과 같은 고급 기능을 필요로 하는 클라이언트 측 데이터는 비동기적으로 작동하고 더 많은 저장 공간을 제공하는 IndexedDB를 사용하는 것을 고려할 수 있습니다. IndexedDB 또한 XSS 공격에 노출될 수 있으므로, 저장하는 데이터의 민감도를 항상 고려해야 합니다.

Before Code (Bad)

// 🚨 민감한 사용자 토큰을 localStorage에 저장하는 예시 (보안 취약)
function login(username, password) {
  fetch('/api/login', {
    method: 'POST',
    headers: { 'Content-Type': 'application/json' },
    body: JSON.stringify({ username, password })
  })
  .then(response => response.json())
  .then(data => {
    if (data.token) {
      localStorage.setItem('authToken', data.token); // 🚨 XSS 공격에 노출될 수 있는 토큰 저장
      localStorage.setItem('userId', data.userId);   // 🚨 XSS 공격에 노출될 수 있는 사용자 ID 저장
      console.log('로그인 성공! 토큰 및 사용자 ID가 localStorage에 저장됨.');
    } else {
      console.error('로그인 실패.');
    }
  })
  .catch(error => console.error('네트워크 에러:', error));
}

// 저장된 토큰을 사용하여 API 요청
function fetchData() {
  const token = localStorage.getItem('authToken'); // localStorage에서 토큰을 직접 읽어옴
  if (token) {
    fetch('/api/data', {
      headers: { 'Authorization': `Bearer ${token}` }
    })
    .then(response => response.json())
    .then(data => console.log('데이터:', data))
    .catch(error => console.error('데이터 로딩 에러:', error));
  } else {
    console.warn('토큰이 없습니다. 로그인해주세요.');
  }
}

// 예시 사용 (실제 환경에서는 권장되지 않음)
// login('testuser', 'testpass');
// fetchData();

After Code (Good)

// ✅ 안전한 인증 토큰 관리를 위한 HttpOnly 쿠키 사용 예시
// (백엔드에서 HttpOnly, Secure, SameSite=Lax 속성을 가진 Set-Cookie 헤더를 설정했다고 가정)

// 클라이언트에서 로그인 요청: 서버가 HttpOnly 쿠키로 토큰을 설정함
function loginSecure(username, password) {
  fetch('/api/login', { 
    method: 'POST',
    credentials: 'include', // 요청 시 자동으로 쿠키를 포함하여 전송
    headers: { 'Content-Type': 'application/json' },
    body: JSON.stringify({ username, password })
  })
  .then(response => {
    if (response.ok) {
      console.log('로그인 성공! 토큰은 HttpOnly 쿠키로 안전하게 설정되었습니다.');
      // 민감하지 않은 사용자 환경 설정은 localStorage에 저장 가능
      localStorage.setItem('userTheme', 'dark'); // ✅ 비민감성 데이터
      localStorage.setItem('lastLoginTime', new Date().toISOString()); // ✅ 비민감성 데이터
    } else {
      console.error('로그인 실패.');
    }
  })
  .catch(error => console.error('네트워크 에러:', error));
}

// HttpOnly 쿠키는 클라이언트 JavaScript에서 직접 읽을 수 없으므로,
// API 요청 시 자동으로 함께 전송됩니다.
function fetchDataSecure() {
  fetch('/api/data', {
    credentials: 'include' // 요청 시 자동으로 HttpOnly 쿠키를 포함하여 전송
  })
  .then(response => response.json())
  .then(data => console.log('데이터:', data))
  .catch(error => console.error('데이터 로딩 에러:', error));
}

// 민감하지 않은 사용자 환경 설정 저장 예시 (localStorage 사용)
function saveUserPreference(setting, value) {
  try {
    localStorage.setItem(setting, value);
    console.log(`${setting} 설정이 localStorage에 저장되었습니다.`);
  } catch (e) {
    console.error(`localStorage 저장 실패 (${setting}):`, e);
  }
}

// 예시 사용
// loginSecure('secureuser', 'securepass');
// fetchDataSecure();
// saveUserPreference('notificationEnabled', 'true');

`localStorage`와 `sessionStorage`의 기본적인 사용법과 제한 사항, 그리고 보안에 대한 경고를 포함하고 있어 이 안티패턴의 이해에 필수적입니다. 특히 'Do not store sensitive information in Web Storage' 섹션을 참고하세요.

https://developer.mozilla.org/en-US/docs/Web/API/Web_Storage_API

`HttpOnly`, `Secure`, `SameSite` 쿠키 플래그에 대한 설명과 이들이 클라이언트 측 JavaScript 접근을 어떻게 차단하고 보안을 강화하는지에 대한 내용을 담고 있어, 민감한 데이터 처리의 대안을 이해하는 데 도움이 됩니다.

https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies#security