응답 시간 차이로 인한 정보 유출, Fake Delay로 차단

Context

요청 데이터의 존재 여부에 따라 시스템 응답 속도가 달라지는 현상 발생. 공격자가 응답 시간 차이를 분석하여 사용자 존재 여부를 유추하는 User Enumeration 취약점 노출.

Technical Solution

• 데이터 처리 결과와 무관하게 일정한 응답 시간을 유지하는 Fake Delay 기법 도입
• 성공 및 실패 케이스 모두 동일한 대기 시간을 부여하는 균일 응답 전략
• 내부 처리 로직의 실행 시간 차이를 외부로 노출하지 않는 응답 시간 정규화
• 시스템 내부 상태를 추론할 수 없게 만드는 시간 기반 정보 은닉 설계

Key Takeaway

보안 설계 시 기능적 무결성뿐만 아니라 응답 시간과 같은 부수적인 메타데이터가 정보 유출 경로가 될 수 있음을 인지하는 Side-channel Attack 방어 원칙.