SSRF란?
"이미지 URL을 서버가 fetch"하는 기능에서, 공격자가 http://169.254.169.254/... 같은 내부 주소를 넣으면 AWS 인스턴스 자격증명이 노출된다.
방어
- URL 화이트리스트
- 메타데이터 엔드포인트 차단
- IMDSv2 사용 (AWS)
SSRF란?Server-Side Request Forgery
정의
서버가 공격자 의도대로 내부 서비스에 요청을 보내게 하는 공격. 클라우드 메타데이터 공격에 치명적.
🔗 함께 보면 좋은 용어
Security 전체 →한국 개인정보보호법
한국의 개인정보 보호 규제. 2020년 전면 개정. 민감·고유 식별 정보 엄격.
Anonymization
데이터에서 식별 정보를 제거. k-anonymity·differential privacy.
Argon2
2015년 Password Hashing Competition 승자. 현대 비밀번호 해싱의 권장 알고리즘.
Audit Logging
중요 행동을 변조 불가한 감사 로그로 기록. 규정 준수·포렌식에 필수.
AWS IAM
AWS 접근 제어 서비스. User·Role·Policy·Groups.
Bastion Host
내부 네트워크 진입을 위한 강화 점프 서버. SSH·RDP 관문.