2025년 9월 14일한국어

웹 콘텐츠 보안 정책(CSP)에 대한 포괄적인 가이드로, XSS 공격 방지 및 웹 애플리케이션의 스크립트 실행 제어를 위한 원칙, 구현, 지침 및 모범 사례를 다룹니다.

웹 콘텐츠 보안 정책: XSS로부터 웹사이트 강화 및 스크립트 실행 제어

오늘날의 상호 연결된 디지털 환경에서 웹 보안은 매우 중요합니다. 웹사이트와 웹 애플리케이션은 끊임없이 위협에 직면하고 있으며, 크로스 사이트 스크립팅(XSS) 공격은 여전히 중요한 문제입니다. 웹 콘텐츠 보안 정책(CSP)은 강력한 방어 메커니즘을 제공하여 개발자가 브라우저가 로드할 수 있는 리소스를 제어할 수 있도록 하여 XSS의 위험을 완화하고 전반적인 웹 보안을 강화합니다.

웹 콘텐츠 보안 정책(CSP)이란 무엇인가요?

CSP는 웹사이트 관리자가 주어진 페이지에 대해 사용자 에이전트가 로드할 수 있는 리소스를 제어할 수 있도록 하는 보안 표준입니다. 본질적으로 브라우저가 신뢰할 수 있는 소스의 화이트리스트를 제공하여 신뢰할 수 없는 소스의 모든 콘텐츠를 차단합니다. 이는 XSS 취약성 및 기타 유형의 코드 주입 공격에 대한 공격 표면을 크게 줄입니다.

CSP를 웹 페이지의 방화벽으로 생각하십시오. 로드할 수 있는 리소스(예: 스크립트, 스타일시트, 이미지, 글꼴 및 프레임)의 종류와 로드할 위치를 지정합니다. 브라우저가 정의된 정책과 일치하지 않는 리소스를 감지하면 해당 리소스의 로드를 차단하여 잠재적으로 악성 코드가 실행되는 것을 방지합니다.

CSP가 중요한 이유는 무엇인가요?

XSS 공격 완화: CSP는 주로 공격자가 악성 스크립트를 웹사이트에 주입하여 사용자 데이터를 훔치거나, 세션을 하이재킹하거나, 사이트를 변조할 수 있도록 하는 XSS 공격을 방지하도록 설계되었습니다.
취약성의 영향 감소: 웹사이트에 XSS 취약성이 있는 경우에도 CSP는 악성 스크립트 실행을 방지하여 공격의 영향을 크게 줄일 수 있습니다.
사용자 개인 정보 보호 강화: CSP는 브라우저가 로드할 수 있는 리소스를 제어함으로써 추적 스크립트 또는 기타 개인 정보를 침해하는 콘텐츠의 주입을 방지하여 사용자 개인 정보를 보호하는 데 도움이 될 수 있습니다.
웹사이트 성능 향상: CSP는 불필요하거나 악성 리소스의 로드를 방지하여 대역폭 소비를 줄이고 페이지 로드 시간을 개선하여 웹사이트 성능을 향상시킬 수도 있습니다.
심층 방어 제공: CSP는 심층 방어 전략의 필수 구성 요소로, 다양한 위협으로부터 보호하기 위해 추가 보안 계층을 제공합니다.

CSP는 어떻게 작동하나요?

CSP는 웹 서버에서 브라우저로 HTTP 응답 헤더를 전송하여 구현됩니다. 헤더에는 다양한 유형의 리소스에 허용되는 소스를 지정하는 정책이 포함되어 있습니다. 그러면 브라우저는 이 정책을 적용하여 준수하지 않는 모든 리소스를 차단합니다.

CSP 정책은 일련의 지시문을 사용하여 정의되며, 각 지시문은 특정 유형의 리소스에 허용되는 소스를 지정합니다. 예를 들어 script-src 지시문은 JavaScript 코드에 허용되는 소스를 지정하고 style-src 지시문은 CSS 스타일시트에 허용되는 소스를 지정합니다.

다음은 CSP 헤더의 단순화된 예입니다.

            Content-Security-Policy: default-src 'self'; script-src 'self' https://example.com; style-src 'self' 'unsafe-inline';

이 정책은 동일한 출처('self')의 리소스, 동일한 출처 및 https://example.com의 스크립트, 동일한 출처 및 인라인 스타일('unsafe-inline')의 스타일을 허용합니다.

CSP 지침: 자세한 개요

CSP 지침은 CSP 정책의 빌딩 블록입니다. 다양한 유형의 리소스에 허용되는 소스를 지정합니다. 다음은 가장 일반적으로 사용되는 지침에 대한 분석입니다.

default-src: 특정 지침이 정의되지 않은 경우 모든 리소스 유형에 대한 기본 소스를 지정합니다. 이는 기본 보안 자세를 설정하는 데 중요한 지침입니다.
script-src: JavaScript 코드를 로드할 수 있는 소스를 제어합니다. 이는 XSS 공격을 방지하는 데 가장 중요한 지침 중 하나입니다.
style-src: CSS 스타일시트를 로드할 수 있는 소스를 제어합니다. 이 지침은 XSS 공격을 방지하는 데 도움이 되며 CSS 주입 공격의 위험을 완화할 수 있습니다.
img-src: 이미지를 로드할 수 있는 소스를 제어합니다.
font-src: 글꼴을 로드할 수 있는 소스를 제어합니다.
media-src: 미디어 파일(예: 오디오 및 비디오)을 로드할 수 있는 소스를 제어합니다.
object-src: 플러그인(예: Flash)을 로드할 수 있는 소스를 제어합니다. 참고: 보안 문제로 인해 플러그인 사용은 일반적으로 권장되지 않습니다.
frame-src: 프레임 및 iframe을 로드할 수 있는 소스를 제어합니다. 이 지침은 클릭재킹 공격을 방지하고 프레임 내 XSS 공격의 범위를 제한하는 데 도움이 됩니다.
connect-src: 스크립트가 XMLHttpRequest, WebSocket, EventSource 등을 사용하여 연결할 수 있는 URL을 제어합니다. 이 지침은 웹 애플리케이션에서 아웃바운드 네트워크 연결을 제어하는 데 중요합니다.
base-uri: <base> 요소에서 사용할 수 있는 URL을 제한합니다.
form-action: 양식을 제출할 수 있는 URL을 제한합니다.
upgrade-insecure-requests: 브라우저에 안전하지 않은 HTTP 요청을 HTTPS로 자동 업그레이드하도록 지시합니다. 이렇게 하면 브라우저와 서버 간의 모든 통신이 암호화되도록 하는 데 도움이 됩니다.
block-all-mixed-content: 브라우저가 혼합된 콘텐츠(HTTPS 페이지의 HTTP 콘텐츠)를 로드하지 못하도록 합니다. 이렇게 하면 모든 리소스가 HTTPS를 통해 로드되도록 하여 보안을 더욱 강화합니다.
report-uri: CSP 위반이 발생할 때 브라우저가 보고서를 보내야 하는 URL을 지정합니다. 이를 통해 CSP 정책을 모니터링하고 잠재적인 취약성을 식별할 수 있습니다. 참고: 이 지침은 report-to를 선호하여 더 이상 사용되지 않습니다.
report-to: CSP 위반 보고서를 보내야 하는 위치를 정의하는 Report-To 헤더에 정의된 그룹 이름을 지정합니다. 이는 CSP 위반 보고서를 받는 데 선호되는 방법입니다.

소스 목록 값

각 지침은 소스 목록을 사용하여 허용되는 소스를 지정합니다. 소스 목록에는 다음 값이 포함될 수 있습니다.

'self': 동일한 출처(스키마 및 호스트)의 리소스를 허용합니다.
'none': 모든 소스의 리소스를 허용하지 않습니다.
'unsafe-inline': 인라인 JavaScript 및 CSS 사용을 허용합니다. 참고: XSS 공격의 위험을 증가시킬 수 있으므로 가능한 한 피해야 합니다.
'unsafe-eval': eval() 및 유사한 함수 사용을 허용합니다. 참고: XSS 공격의 위험을 증가시킬 수 있으므로 가능한 한 피해야 합니다.
'strict-dynamic': nonce 또는 해시와 함께 제공하여 표시에 있는 스크립트에 명시적으로 부여된 신뢰가 해당 상위 요소에 의해 로드된 모든 스크립트로 전파되도록 지정합니다.
'nonce-{random-value}': 일치하는 nonce 속성이 있는 스크립트를 허용합니다. {random-value}는 각 요청에 대해 생성된 암호화 방식으로 무작위 문자열이어야 합니다.
'sha256-{hash-value}', 'sha384-{hash-value}', 'sha512-{hash-value}': 일치하는 해시가 있는 스크립트를 허용합니다. {hash-value}는 스크립트의 base64로 인코딩된 SHA-256, SHA-384 또는 SHA-512 해시여야 합니다.
https://example.com: 특정 도메인의 리소스를 허용합니다.
*.example.com: 특정 도메인의 모든 하위 도메인의 리소스를 허용합니다.

CSP 구현: 단계별 가이드

CSP를 구현하려면 정책을 정의한 다음 웹 서버에 배포해야 합니다. 다음은 단계별 가이드입니다.

웹사이트 분석: 먼저 웹사이트를 분석하여 스크립트, 스타일시트, 이미지, 글꼴 및 프레임을 포함하여 로드하는 모든 리소스를 식별합니다. CDN 및 소셜 미디어 위젯과 같은 타사 리소스에 주의하세요.
정책 정의: 분석을 기반으로 필수 리소스만 허용하는 CSP 정책을 정의합니다. 제한적인 정책으로 시작하여 필요에 따라 점차적으로 완화합니다. 위에 설명된 지침을 사용하여 각 리소스 유형에 허용되는 소스를 지정합니다.
정책 배포: 웹 서버에서 Content-Security-Policy HTTP 헤더를 전송하여 CSP 정책을 배포합니다. <meta> 태그를 사용하여 정책을 정의할 수도 있지만 이는 보안이 떨어질 수 있으므로 일반적으로 권장되지 않습니다.
정책 테스트: CSP 정책이 웹사이트의 기능을 손상시키지 않는지 철저하게 테스트합니다. 브라우저의 개발자 도구를 사용하여 모든 CSP 위반을 식별하고 그에 따라 정책을 조정합니다.
정책 모니터링: 잠재적인 취약성을 식별하고 효과적인 상태를 유지하기 위해 CSP 정책을 정기적으로 모니터링합니다. report-uri 또는 report-to 지침을 사용하여 CSP 위반 보고서를 받습니다.

배포 방법

CSP는 두 가지 주요 방법을 사용하여 배포할 수 있습니다.

HTTP 헤더: 선호하는 방법은 Content-Security-Policy HTTP 헤더를 사용하는 것입니다. 이렇게 하면 페이지가 렌더링되기 전에 브라우저에서 정책을 적용할 수 있으므로 더 나은 보안을 제공합니다.
<meta> 태그: HTML 문서의 <head> 섹션에서 <meta> 태그를 사용할 수도 있습니다. 그러나 이 방법은 페이지가 구문 분석될 때까지 정책이 적용되지 않으므로 일반적으로 덜 안전합니다.

다음은 HTTP 헤더를 사용하여 CSP를 배포하는 예입니다.

            Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self' 'unsafe-inline'; img-src 'self' data:; font-src 'self';

다음은 <meta> 태그를 사용하여 CSP를 배포하는 예입니다.

            <meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self' 'unsafe-inline'; img-src 'self' data:; font-src 'self';">

보고 전용 모드의 CSP

CSP는 또한 정책을 실제로 적용하지 않고 테스트할 수 있는 보고 전용 모드를 지원합니다. 보고 전용 모드에서는 브라우저가 모든 CSP 위반을 보고하지만 리소스 로드를 차단하지 않습니다. 이는 프로덕션에 배포하기 전에 정책을 테스트하고 개선하는 데 유용한 도구입니다.

보고 전용 모드를 활성화하려면 Content-Security-Policy-Report-Only HTTP 헤더를 사용합니다.

            Content-Security-Policy-Report-Only: default-src 'self'; script-src 'self' https://cdn.example.com; report-uri /csp-report;

이 예에서 브라우저는 CSP 위반 보고서를 /csp-report 엔드포인트로 보내지만 리소스 로드를 차단하지 않습니다.

CSP 구현을 위한 모범 사례

다음은 CSP를 구현하기 위한 몇 가지 모범 사례입니다.

제한적인 정책으로 시작: 제한적인 정책으로 시작하여 필요에 따라 점차적으로 완화합니다. 이렇게 하면 잠재적인 취약성을 식별하고 정책이 가능한 한 효과적인지 확인할 수 있습니다.
가능한 한 'self' 사용: 가능한 한 동일한 출처의 리소스를 허용합니다. 이렇게 하면 공격 표면이 줄어들고 정책을 더 쉽게 관리할 수 있습니다.
'unsafe-inline' 및 'unsafe-eval' 방지: 절대적으로 필요한 경우가 아니면 'unsafe-inline' 및 'unsafe-eval'을 사용하지 마세요. 이러한 지침은 XSS 공격의 위험을 크게 증가시킵니다.
인라인 스크립트 및 스타일에 nonce 또는 해시 사용: 인라인 스크립트 또는 스타일을 사용해야 하는 경우 nonce 또는 해시를 사용하여 승인된 코드만 실행되도록 합니다.
정책을 정기적으로 모니터링: 잠재적인 취약성을 식별하고 효과적인 상태를 유지하기 위해 CSP 정책을 정기적으로 모니터링합니다.
CSP 보고 도구 사용: CSP 위반 보고서를 수집하고 분석하기 위해 CSP 보고 도구를 사용합니다. 이렇게 하면 잠재적인 취약성을 식별하고 정책을 개선하는 데 도움이 됩니다.
CSP 생성기 사용 고려: 여러 온라인 도구를 사용하면 웹사이트의 리소스에 따라 CSP 정책을 생성할 수 있습니다.
정책 문서화: CSP 정책을 문서화하여 이해하고 유지 관리하기 쉽게 만듭니다.

일반적인 CSP 실수 및 방지 방법

CSP를 구현하는 것은 어려울 수 있으며 보안 자세를 약화시킬 수 있는 실수를 쉽게 저지를 수 있습니다. 다음은 몇 가지 일반적인 실수와 이를 방지하는 방법입니다.

과도하게 허용적인 정책 사용: 모든 소스의 리소스를 허용하는 과도하게 허용적인 정책을 사용하지 마십시오. 이렇게 하면 CSP의 목적을 달성할 수 없으며 XSS 공격의 위험을 증가시킬 수 있습니다.
중요한 지침 포함 누락: 웹사이트에서 로드하는 모든 리소스를 포함하도록 필요한 모든 지침을 포함해야 합니다.
정책을 철저하게 테스트하지 않음: 웹사이트의 기능을 손상시키지 않도록 정책을 철저하게 테스트합니다.
정책을 정기적으로 모니터링하지 않음: 잠재적인 취약성을 식별하고 효과적인 상태를 유지하기 위해 CSP 정책을 정기적으로 모니터링합니다.
CSP 위반 보고 무시: CSP 위반 보고에 주의를 기울이고 이를 사용하여 정책을 개선합니다.
더 이상 사용되지 않는 지침 사용: report-uri와 같은 더 이상 사용되지 않는 지침을 사용하지 마십시오. 대신 report-to를 사용하십시오.

CSP 및 타사 리소스

CDN, 소셜 미디어 위젯 및 분석 스크립트와 같은 타사 리소스는 손상된 경우 상당한 보안 위험을 초래할 수 있습니다. CSP는 이러한 리소스를 로드할 수 있는 소스를 제어하여 이 위험을 완화하는 데 도움이 될 수 있습니다.

타사 리소스를 사용하는 경우 다음을 확인하십시오.

신뢰할 수 있는 소스에서만 리소스 로드: 강력한 보안 실적을 가진 신뢰할 수 있는 소스에서만 리소스를 로드합니다.
특정 URL 사용: 와일드카드 도메인 대신 특정 URL을 사용하여 정책 범위를 제한합니다.
Subresource Integrity(SRI) 사용 고려: SRI를 사용하면 예상 콘텐츠의 해시를 지정하여 타사 리소스의 무결성을 확인할 수 있습니다.

고급 CSP 기술

기본 CSP 정책을 설정한 후에는 보안 자세를 더욱 강화하기 위해 더 고급 기술을 탐색할 수 있습니다.

인라인 스크립트 및 스타일에 nonce 사용: Nonce는 각 요청에 대해 생성되는 암호화 방식으로 무작위 값입니다. 보안을 손상시키지 않고 인라인 스크립트 및 스타일을 허용하는 데 사용할 수 있습니다.
인라인 스크립트 및 스타일에 해시 사용: 해시는 모든 인라인 코드를 허용하지 않고 특정 인라인 스크립트 및 스타일을 허용하는 데 사용할 수 있습니다.
'strict-dynamic' 사용: 'strict-dynamic'은 브라우저에서 신뢰하는 스크립트가 CSP 정책에 명시적으로 화이트리스트에 포함되지 않은 경우에도 다른 스크립트를 로드하도록 허용합니다.
nonce 및 hash 속성이 있는 CSP 메타 태그 사용: `nonce` 및 `hash` 속성을 CSP 메타 태그 콘텐츠에 직접 적용하면 보안을 강화하고 정책이 엄격하게 적용되도록 할 수 있습니다.

CSP 도구 및 리소스

CSP를 구현하고 관리하는 데 도움이 되는 몇 가지 도구와 리소스가 있습니다.

CSP 생성기: 웹사이트의 리소스에 따라 CSP 정책을 생성하는 데 도움이 되는 온라인 도구입니다. 예로는 CSP 생성기 및 Report URI의 CSP 생성기가 있습니다.
CSP 분석기: 웹사이트를 분석하고 잠재적인 CSP 취약성을 식별하는 도구입니다.
CSP 보고 도구: CSP 위반 보고서를 수집하고 분석하는 도구입니다. Report URI는 널리 사용되는 예입니다.
브라우저 개발자 도구: 브라우저의 개발자 도구를 사용하여 CSP 위반을 식별하고 정책을 디버그할 수 있습니다.
Mozilla Observatory: CSP를 포함하여 웹사이트의 보안 구성을 분석하는 웹 기반 도구입니다.

CSP 및 최신 웹 프레임워크

최신 웹 프레임워크는 종종 CSP에 대한 내장된 지원을 제공하여 정책을 구현하고 관리하기 쉽게 만듭니다. 다음은 몇 가지 인기 있는 프레임워크에서 CSP를 사용하는 방법에 대한 간략한 개요입니다.

React: React 애플리케이션은 적절한 HTTP 헤더 또는 메타 태그를 설정하여 CSP를 사용할 수 있습니다. styled-components 또는 유사한 CSS-in-JS 솔루션을 사용할 때 인라인 스타일에 대한 nonce를 생성하는 데 도움이 되는 라이브러리를 사용하는 것을 고려하세요.
Angular: Angular는 CSP 메타 태그를 설정하는 데 사용할 수 있는 Meta 서비스를 제공합니다. 빌드 프로세스가 적절한 nonce 또는 해시 없이 인라인 스타일이나 스크립트를 도입하지 않는지 확인합니다.
Vue.js: Vue.js 애플리케이션은 서버 측 렌더링을 활용하여 CSP 헤더를 설정할 수 있습니다. 단일 페이지 애플리케이션의 경우 메타 태그를 사용할 수 있지만 신중하게 관리해야 합니다.
Node.js (Express): Express.js 미들웨어를 사용하여 CSP 헤더를 동적으로 설정할 수 있습니다. helmet과 같은 라이브러리는 정책을 쉽게 구성할 수 있도록 CSP 미들웨어를 제공합니다.

실제 CSP 사용 예시

전 세계의 많은 조직에서 웹사이트와 웹 애플리케이션을 보호하기 위해 CSP를 성공적으로 구현했습니다. 다음은 몇 가지 예입니다.

Google: Google은 Gmail 및 Google 검색을 포함한 다양한 웹 속성을 보호하기 위해 CSP를 광범위하게 사용합니다. CSP 정책 및 경험을 공개적으로 공유했습니다.
Facebook: Facebook은 XSS 공격으로부터 플랫폼을 보호하기 위해 CSP를 사용합니다. CSP 구현에 대한 블로그 게시물과 프레젠테이션을 게시했습니다.
Twitter: Twitter는 악성 스크립트 및 기타 보안 위협으로부터 사용자를 보호하기 위해 CSP를 구현했습니다.
정부 기관: 전 세계의 많은 정부 기관에서 웹사이트와 웹 애플리케이션을 보호하기 위해 CSP를 사용합니다.
금융 기관: 금융 기관은 종종 민감한 고객 데이터를 보호하기 위해 전반적인 보안 전략의 일환으로 CSP를 사용합니다.

CSP의 미래

CSP는 진화하는 표준이며 새로운 기능과 지침이 지속적으로 추가되고 있습니다. CSP의 미래는 다음과 관련될 가능성이 높습니다.

향상된 브라우저 지원: CSP가 더 널리 채택됨에 따라 브라우저 지원이 계속 개선될 것입니다.
더욱 발전된 지침: 새로운 보안 위협을 해결하기 위해 새로운 지침이 추가될 것입니다.
더 나은 도구: CSP 정책을 구현하고 관리하는 데 도움이 되는 더욱 정교한 도구가 개발될 것입니다.
기타 보안 표준과의 통합: CSP는 Subresource Integrity(SRI) 및 HTTP Strict Transport Security(HSTS)와 같은 기타 보안 표준과 점점 더 통합될 것입니다.

결론

웹 콘텐츠 보안 정책(CSP)은 크로스 사이트 스크립팅(XSS) 공격을 방지하고 웹 애플리케이션에서 스크립트 실행을 제어하는 강력한 도구입니다. CSP 정책을 신중하게 정의함으로써 웹사이트의 공격 표면을 크게 줄이고 전반적인 웹 보안을 강화할 수 있습니다. CSP를 구현하는 것은 어려울 수 있지만 그 이점은 그 노력을 충분히 보상합니다. 이 가이드에 설명된 모범 사례를 따르면 다양한 보안 위협으로부터 웹사이트와 사용자를 효과적으로 보호할 수 있습니다.

제한적인 정책으로 시작하고, 철저하게 테스트하고, 정기적으로 모니터링하고, 최신 CSP 개발 정보를 최신 상태로 유지하십시오. 이러한 단계를 수행하면 CSP 정책이 효과적이고 웹사이트에 가능한 최고의 보호를 제공하는지 확인할 수 있습니다.

궁극적으로 CSP는 만병통치약은 아니지만 포괄적인 웹 보안 전략의 필수 구성 요소입니다. CSP를 입력 유효성 검사, 출력 인코딩 및 정기적인 보안 감사와 같은 기타 보안 조치와 결합하여 광범위한 웹 보안 위협에 대한 강력한 방어를 구축할 수 있습니다.