Client-side Session 노출 및 Weak OTP 설계 결함 분석

Context

Flask 기반 웹 애플리케이션에서 2FA(Two-Factor Authentication) 시스템을 구현했으나, 세션 관리 및 OTP 생성 로직의 설계 결함으로 인해 보안 체계가 무력화된 사례임. 특히 인증 상태와 비밀 정보를 Client-side Cookie에 의존하여 저장한 구조적 한계가 존재함.

Technical Solution

• SHA-256 기반의 단순 해싱 구조를 통한 Password 취약점 분석 및 Dictionary Attack을 통한 계정 탈취
• Flask Session Cookie의 Signed-but-not-Encrypted 특성을 이용한 otp_secret 값의 Plaintext 추출
• random.randint를 사용한 9,000개 규모의 협소한 OTP Keyspace 식별 및 Brute-force 가능성 분석
• 서버 측 검증 로직 내 Rate Limiting 부재를 통한 자동화된 OTP 추측 공격 경로 확보
• Client-side 세션 저장 방식에서 Server-side Session(Redis, DB) 방식으로의 아키텍처 전환 필요성 도출