2025년 9월 13일한국어

Trusted Types API에 대한 종합 가이드. 최신 웹 애플리케이션에서 크로스 사이트 스크립팅(XSS) 공격을 방지하고 안전한 DOM 조작을 촉진하는 역할을 탐구합니다.

Trusted Types API: 안전한 DOM 조작을 통한 보안 강화

웹 취약점과의 끊임없는 싸움에서 크로스 사이트 스크립팅(XSS) 공격은 여전히 지속적인 위협으로 남아있습니다. 이러한 공격은 웹 애플리케이션의 취약점을 이용하여 신뢰할 수 있는 웹사이트에 악성 스크립트를 주입하여 공격자가 민감한 데이터를 훔치거나, 웹사이트를 훼손하거나, 사용자를 악성 사이트로 리디렉션할 수 있도록 합니다. 이에 대응하기 위해 Trusted Types API는 강력한 방어 메커니즘으로 등장하여 안전한 DOM 조작을 촉진하고 XSS 취약점의 위험을 크게 줄여줍니다.

크로스 사이트 스크립팅(XSS)의 이해

XSS 공격은 사용자 제공 데이터가 적절한 정제(sanitization)나 인코딩 없이 웹 페이지의 출력에 부적절하게 통합될 때 발생합니다. XSS에는 세 가지 주요 유형이 있습니다:

저장형 XSS(Stored XSS): 악성 스크립트가 대상 서버(예: 데이터베이스, 포럼 게시물, 댓글 섹션)에 영구적으로 저장됩니다. 다른 사용자가 저장된 데이터에 접근하면 스크립트가 그들의 브라우저에서 실행됩니다.
반사형 XSS(Reflected XSS): 악성 스크립트가 URL이나 양식 제출에 포함되어 응답에서 사용자에게 즉시 다시 반사됩니다. 이는 보통 사용자를 속여 악성 링크를 클릭하도록 유도하는 방식을 포함합니다.
DOM 기반 XSS(DOM-based XSS): 악성 스크립트가 서버 측 데이터 저장이나 반사에 의존하는 대신 클라이언트 측 자바스크립트 코드 자체의 취약점을 이용합니다. 이는 종종 문서 객체 모델(DOM)을 직접 조작하는 것을 포함합니다.

전통적으로 개발자들은 XSS 공격을 막기 위해 입력 유효성 검사와 출력 인코딩에 의존해왔습니다. 이러한 기술은 필수적이지만, 올바르게 구현하기 복잡하고 종종 오류가 발생하기 쉽습니다. Trusted Types API는 DOM 수준에서 안전한 코딩 관행을 강제함으로써 더 강력하고 개발자 친화적인 접근 방식을 제공합니다.

Trusted Types API 소개

웹 플랫폼 보안 기능인 Trusted Types API는 잠재적으로 위험한 DOM 조작 메서드의 사용을 제한하여 개발자가 더 안전한 웹 애플리케이션을 작성하도록 돕습니다. 이는 DOM XSS 싱크(스크립트 주입이 발생할 수 있는 위치)가 명시적으로 정제되고 "Trusted Type"으로 래핑된 값만 허용해야 한다는 규칙을 강제합니다. 이는 기본적으로 DOM을 조작하는 데 사용되는 문자열에 대한 타입 시스템을 생성하여, 신뢰할 수 없는 데이터가 이러한 싱크에 직접 전달될 수 없도록 합니다.

주요 개념:

DOM XSS 싱크: 페이지에 스크립트를 주입하는 데 가장 일반적으로 사용되는 속성 및 메서드입니다. 예로는 innerHTML, outerHTML, src, href, document.write가 있습니다.
Trusted Types: 문자열이 신중하게 검토되었으며 DOM XSS 싱크에서 사용하기에 안전하다는 것을 나타내는 특수 래퍼 객체입니다. 이 API는 TrustedHTML, TrustedScript, TrustedScriptURL과 같은 여러 내장 Trusted Type을 제공합니다.
타입 정책(Type Policies): Trusted Type을 생성하고 사용하는 방법을 정의하는 규칙입니다. 어떤 함수가 Trusted Type을 생성할 수 있는지, 그리고 기본 문자열을 어떻게 정제하거나 유효성을 검사하는지를 지정합니다.

Trusted Types의 작동 방식

Trusted Types의 핵심 원칙은 개발자가 신뢰할 수 없는 문자열을 DOM XSS 싱크에 직접 전달하는 것을 방지하는 것입니다. Trusted Types가 활성화되면, Trusted Type이 예상되는 곳에 일반 문자열이 사용될 경우 브라우저는 TypeError를 발생시킵니다.

Trusted Types를 사용하려면 먼저 타입 정책을 정의해야 합니다. 타입 정책은 Trusted Type을 생성하는 방법을 지정하는 자바스크립트 객체입니다. 예를 들어:


if (window.trustedTypes && window.trustedTypes.createPolicy) {
  window.myPolicy = trustedTypes.createPolicy('myPolicy', {
    createHTML: function(input) {
      // 여기서 입력을 정제합니다. 이것은 플레이스홀더이며, 실제 정제 라이브러리를 사용하세요.
      let sanitized = DOMPurify.sanitize(input); // DOMPurify를 사용한 예시
      return sanitized;
    },
    createScriptURL: function(input) {
      // 여기서 입력의 유효성을 검사하여 안전한 URL인지 확인합니다.
      if (input.startsWith('https://example.com/')) {
        return input;
      } else {
        throw new Error('신뢰할 수 없는 URL: ' + input);
      }
    },
    createScript: function(input) {
         // 스크립트 생성 시 매우 주의해야 하며, 자신이 무엇을 하는지 알 때만 사용하세요
         return input;
    }
  });
}

이 예제에서는 "myPolicy"라는 이름의 타입 정책을 createHTML, createScriptURL, createScript 세 가지 함수로 생성합니다. createHTML 함수는 DOMPurify와 같은 정제 라이브러리를 사용하여 입력 문자열을 정제합니다. createScriptURL 함수는 입력이 안전한 URL인지 확인하기 위해 유효성을 검사합니다. createScript 함수는 임의의 스크립트 실행을 허용하므로, 가능하면 피하는 것이 이상적이며 극도의 주의를 기울여 사용해야 합니다.

타입 정책이 생성되면 이를 사용하여 Trusted Type을 만들 수 있습니다:


let untrustedHTML = '';
let trustedHTML = myPolicy.createHTML(untrustedHTML);

document.getElementById('myElement').innerHTML = trustedHTML;

이 예제에서는 신뢰할 수 없는 HTML 문자열을 우리 타입 정책의 createHTML 함수에 전달합니다. 이 함수는 문자열을 정제하고 TrustedHTML 객체를 반환합니다. 그런 다음 이 TrustedHTML 객체를 XSS 공격 위험 없이 요소의 innerHTML 속성에 안전하게 할당할 수 있습니다.

Trusted Types 사용의 이점

보안 강화: Trusted Types는 개발자가 신뢰할 수 없는 문자열을 DOM XSS 싱크에 직접 전달하는 것을 방지하여 XSS 공격의 위험을 크게 줄입니다.
코드 품질 향상: Trusted Types는 개발자가 데이터 정제 및 유효성 검사에 대해 더 신중하게 생각하도록 장려하여 코드 품질과 보안 관행을 개선합니다.
보안 검토 간소화: Trusted Types는 타입 정책에 의해 DOM XSS 싱크의 사용이 명시적으로 제어되므로 코드에서 잠재적인 XSS 취약점을 식별하고 검토하기가 더 쉬워집니다.
CSP와의 호환성: Trusted Types는 콘텐츠 보안 정책(CSP)과 함께 사용하여 웹 애플리케이션 보안을 더욱 강화할 수 있습니다.

구현 시 고려사항

Trusted Types를 구현하려면 신중한 계획과 실행이 필요합니다. 다음은 몇 가지 중요한 고려사항입니다:

DOM XSS 싱크 식별: 첫 번째 단계는 애플리케이션의 모든 DOM XSS 싱크를 식별하는 것입니다. 이것들은 DOM을 조작하는 데 사용되며 XSS 공격에 의해 악용될 수 있는 속성과 메서드입니다.
정제 라이브러리 선택: Trusted Type을 생성하기 전에 신뢰할 수 없는 데이터를 정제하기 위해 평판이 좋고 잘 관리되는 정제 라이브러리를 선택하세요. DOMPurify는 널리 사용되는 효과적인 선택입니다. 특정 요구에 맞게 올바르게 구성해야 합니다.
타입 정책 정의: Trusted Type을 생성하고 사용하는 방법을 지정하는 타입 정책을 만드세요. XSS 공격을 효과적으로 방지할 수 있도록 타입 정책의 정제 및 유효성 검사 로직을 신중하게 고려해야 합니다.
코드 업데이트: 잠재적으로 신뢰할 수 없는 데이터로 DOM을 조작할 때마다 Trusted Types를 사용하도록 코드를 업데이트하세요. DOM XSS 싱크에 대한 직접 할당을 Trusted Type 할당으로 교체하세요.
철저한 테스트: Trusted Types를 구현한 후 애플리케이션이 올바르게 작동하고 회귀 문제가 없는지 철저히 테스트하세요. 특히 DOM을 조작하는 영역에 주의를 기울이세요.
마이그레이션 전략: 크고 기존의 코드베이스에 Trusted Types를 구현하는 것은 어려울 수 있습니다. 애플리케이션의 가장 중요한 영역부터 시작하여 점진적인 마이그레이션 전략을 고려하세요. 처음에는 "보고 전용(report-only)" 모드로 Trusted Types를 활성화하여 애플리케이션을 중단시키지 않고 위반 사항을 식별할 수 있습니다.

예시 시나리오

Trusted Types가 다양한 시나리오에서 어떻게 사용될 수 있는지 몇 가지 실제적인 예를 살펴보겠습니다:

시나리오 1: 사용자 생성 콘텐츠 표시

웹사이트에서 사용자가 댓글과 게시물을 제출할 수 있도록 허용합니다. Trusted Types가 없으면 이 콘텐츠를 표시하는 것이 XSS 공격에 취약할 수 있습니다. Trusted Types를 사용하면 사용자 생성 콘텐츠를 표시하기 전에 정제하여 악성 스크립트가 제거되도록 할 수 있습니다.


// Trusted Types 사용 전:
// document.getElementById('comments').innerHTML = userComment; // XSS에 취약함

// Trusted Types 사용 후:
let trustedHTML = myPolicy.createHTML(userComment);
document.getElementById('comments').innerHTML = trustedHTML;

시나리오 2: 외부 자바스크립트 파일 로딩

웹사이트가 외부 소스에서 자바스크립트 파일을 동적으로 로드합니다. Trusted Types가 없으면 악의적인 공격자가 이러한 파일 중 하나를 자신의 악성 스크립트로 교체할 수 있습니다. Trusted Types를 사용하면 스크립트 파일을 로드하기 전에 URL의 유효성을 검사하여 신뢰할 수 있는 소스에서 온 것인지 확인할 수 있습니다.


// Trusted Types 사용 전:
// let script = document.createElement('script');
// script.src = untrustedURL; // XSS에 취약함
// document.head.appendChild(script);

// Trusted Types 사용 후:
let trustedScriptURL = myPolicy.createScriptURL(untrustedURL);
let script = document.createElement('script');
script.src = trustedScriptURL;
document.head.appendChild(script);

시나리오 3: 요소 속성 설정

웹사이트가 사용자 입력을 기반으로 DOM 요소에 속성을 설정합니다. 예를 들어, 앵커 태그의 `href` 속성을 설정하는 경우입니다. Trusted Types가 없으면 악의적인 공격자가 자바스크립트 URI를 주입하여 XSS로 이어질 수 있습니다. Trusted Types를 사용하면 속성을 설정하기 전에 URL의 유효성을 검사할 수 있습니다.


// Trusted Types 사용 전:
// anchorElement.href = userInputURL; // XSS에 취약함

// Trusted Types 사용 후:
let trustedURL = myPolicy.createScriptURL(userInputURL);
anchorElement.href = trustedURL;

Trusted Types와 콘텐츠 보안 정책(CSP)

Trusted Types는 XSS 공격에 대한 심층 방어를 제공하기 위해 콘텐츠 보안 정책(CSP)과 잘 연동됩니다. CSP는 웹사이트에 로드할 수 있는 콘텐츠 소스를 지정할 수 있게 해주는 보안 메커니즘입니다. Trusted Types와 CSP를 결합하면 매우 안전한 웹 애플리케이션을 만들 수 있습니다.

CSP에서 Trusted Types를 활성화하려면 require-trusted-types-for 지시문을 사용할 수 있습니다. 이 지시문은 모든 DOM XSS 싱크에 대해 Trusted Types가 필요함을 지정합니다. 예를 들어:


Content-Security-Policy: require-trusted-types-for 'script'; trusted-types myPolicy;

이 CSP 헤더는 브라우저에게 모든 스크립트 실행에 대해 Trusted Types를 요구하고 "myPolicy" 타입 정책에 의해 생성된 Trusted Types만 허용하도록 지시합니다.

브라우저 지원 및 폴리필

Trusted Types에 대한 브라우저 지원은 증가하고 있지만 아직 보편적으로 사용 가능하지는 않습니다. 2024년 후반 기준으로 크롬, 파이어폭스, 엣지와 같은 주요 브라우저에서는 잘 지원됩니다. 사파리 지원은 뒤처져 있습니다. 최신 브라우저 호환성 정보는 CanIUse.com에서 확인하세요.

Trusted Types를 기본적으로 지원하지 않는 구형 브라우저의 경우 폴리필(polyfill)을 사용할 수 있습니다. 폴리필은 구형 브라우저에서 새로운 기능의 기능을 제공하는 자바스크립트 코드 조각입니다. 구글에서 제공하는 것과 같은 여러 Trusted Types 폴리필이 있습니다. 그러나 폴리필은 네이티브 지원과 동일한 수준의 보안을 제공하지는 않습니다. 주로 호환성을 돕고 일부 사용자가 구형 브라우저를 사용하더라도 API를 사용하기 시작할 수 있도록 합니다.

대안 및 고려사항

Trusted Types가 상당한 보안 향상을 제공하지만, 대안적인 접근 방식과 이것이 완벽한 해결책이 아닐 수 있는 시나리오를 인정하는 것이 중요합니다:

프레임워크 통합: 리액트(React), 앵귤러(Angular), 뷰(Vue.js)와 같은 최신 자바스크립트 프레임워크는 종종 XSS 위험을 완화하는 방식으로 DOM 조작을 처리합니다. 이러한 프레임워크는 일반적으로 기본적으로 데이터를 이스케이프하고 안전한 코딩 패턴 사용을 권장합니다. 그러나 프레임워크를 사용하더라도 프레임워크의 내장 보호 기능을 우회하거나 dangerouslySetInnerHTML(리액트) 또는 유사한 기능을 잘못 사용하면 XSS 취약점이 발생할 수 있습니다.
엄격한 입력 유효성 검사 및 출력 인코딩: 입력 유효성 검사 및 출력 인코딩의 전통적인 방법은 여전히 중요합니다. Trusted Types는 이러한 기술을 대체하는 것이 아니라 보완합니다. 입력 유효성 검사는 애플리케이션에 들어오는 데이터가 올바른 형식이며 예상되는 형식을 준수하는지 확인합니다. 출력 인코딩은 데이터가 페이지에 표시될 때 적절하게 이스케이프되어 브라우저가 이를 코드로 해석하는 것을 방지합니다.
성능 오버헤드: 일반적으로 미미하지만 Trusted Types에 필요한 정제 및 유효성 검사 프로세스와 관련된 약간의 성능 오버헤드가 있을 수 있습니다. 성능 병목 현상을 식별하고 그에 따라 최적화하기 위해 애플리케이션을 프로파일링하는 것이 필수적입니다.
유지 관리 부담: Trusted Types를 구현하고 유지 관리하려면 애플리케이션의 DOM 구조 및 데이터 흐름에 대한 확실한 이해가 필요합니다. 타입 정책을 생성하고 관리하는 것은 유지 관리 부담을 가중시킬 수 있습니다.

실제 사례 및 케이스 스터디

여러 조직이 웹 애플리케이션 보안을 개선하기 위해 Trusted Types를 성공적으로 구현했습니다. 예를 들어, 구글은 자사 제품 및 서비스 전반에 걸쳐 Trusted Types를 광범위하게 사용해왔습니다. 보안이 가장 중요한 금융 및 전자 상거래 분야의 다른 회사들도 민감한 사용자 데이터를 보호하고 금융 사기를 방지하기 위해 Trusted Types를 채택하고 있습니다. 이러한 실제 사례들은 복잡하고 중요한 환경에서 XSS 위험을 완화하는 데 있어 Trusted Types의 효과를 보여줍니다.

결론

Trusted Types API는 XSS 공격을 방지하기 위한 강력하고 개발자 친화적인 메커니즘을 제공함으로써 웹 애플리케이션 보안의 중요한 진전을 나타냅니다. 안전한 DOM 조작 관행을 강제하고 신중한 데이터 정제 및 유효성 검사를 촉진함으로써, Trusted Types는 개발자가 더 안전하고 신뢰할 수 있는 웹 애플리케이션을 구축할 수 있도록 지원합니다. Trusted Types를 구현하는 데에는 신중한 계획과 실행이 필요하지만, 보안 강화 및 코드 품질 향상 측면에서의 이점은 그 노력을 충분히 가치 있게 만듭니다. Trusted Types에 대한 브라우저 지원이 계속 증가함에 따라, 이는 웹 취약점과의 싸움에서 점점 더 중요한 도구가 될 것입니다.

글로벌 사용자의 입장에서, Trusted Types 활용과 같은 보안 모범 사례를 수용하는 것은 개별 애플리케이션을 보호하는 것뿐만 아니라, 모든 사람을 위해 더 안전하고 신뢰할 수 있는 웹을 조성하는 것입니다. 이는 데이터가 국경을 넘어 흐르고 보안 침해가 광범위한 결과를 초래할 수 있는 글로벌화된 세계에서 특히 중요합니다. 당신이 도쿄의 개발자이든, 런던의 보안 전문가이든, 상파울루의 사업주이든, Trusted Types와 같은 기술을 이해하고 구현하는 것은 안전하고 복원력 있는 디지털 생태계를 구축하는 데 필수적입니다.