2025 국가직9급 정보보호론 14번 해설 — CSRF

정답 ④번출제 쟁점 CSRF발문 옳은 것 고르기

문제

(가), (나)에 들어갈 용어를 바르게 연결한 것은? 공격자는 웹사이트에서 인증 과정을 거쳐 활성 세션을 가지고 있는 사용자로 하여금 공격자가 만든 악의적인 링크에 접근하게 유도한다. 이 링크를 클릭한 사용자는 자신도 인지하지 못한 채 공격자가 의도한 데이터를 HTTP 몸체(body)에 첨부하여 페이지 내용을 변경하도록 하는 HTTP (가) 요청을 웹사이트로 보낸다. 이와 같은 방식의 공격을 (나) 라고 한다. (가) (나)

  1. GET XSS
  2. GET CSRF
  3. POST XSS
  4. POST CSRF ← 정답

선지별 해설

GET XSS

이 선지 진술은 틀림(X)

상태 변경 데이터가 HTTP body에 실리면 보통 POST 요청 맥락이다. 활성 세션을 악용해 의도하지 않은 요청을 보내게 하는 공격은 CSRF다.

GET CSRF

이 선지 진술은 틀림(X)

GET 요청은 보통 URL 쿼리 문자열을 사용하고 body를 상태 변경 데이터 전달의 중심으로 삼지 않는다. body를 통한 상태 변경은 POST 요청 맥락이 자연스럽다.

POST XSS

이 선지 진술은 틀림(X)

XSS는 웹 페이지에 스크립트를 삽입·실행시키는 공격이다. 사용자의 인증 상태를 이용해 위조 요청을 보내게 하는 공격은 CSRF다.

POST CSRF

이 선지 진술은 옳음(O)

CSRF는 인증된 사용자의 권한으로 위조 요청을 보내게 하는 공격이다. 데이터가 HTTP body에 첨부되어 상태 변경을 유도하면 POST 요청으로 설명된다.

핵심 요약 (Q&A)

Q. 2025 국가직9급 정보보호론 14번의 핵심 쟁점은 무엇인가?
A. 2025 국가직9급 정보보호론 14번은 CSRF에 관한 문항으로, "옳은 것"을 고르는 문제입니다.
Q. 2025 국가직9급 정보보호론 14번의 정답은?
A. 정답은 ④번입니다. CSRF는 인증된 사용자의 권한으로 위조 요청을 보내게 하는 공격이다. 데이터가 HTTP body에 첨부되어 상태 변경을 유도하면 POST 요청으로 설명된다.
🧩 웹 보안 개념·기출 모아보기📄 2025 국가직9급 정보보호론 전체 문항✏️ 이 시험 미니문제 풀기
출처: 2025 국가직9급 정보보호론 기출 (원문 보존)해설 기준: 출제 당시 법령·판례 · 개정 사항은 ⚠️ 표시