목차
- SSRF란?
- 기업에서 SSRF 차단을 요청하는 이유
- SSRF 공격을 완화하는 방법(Feat. F5 AWAF)
SSRF란?
- SSRF란 Server side Request Forgery의 약자
- SSRF는 “사용자가 넣은 주소로 서버가 대신 접속하게 만들어, 내부망이나 민감한 곳을 보게 하는 공격
EX) https://www.naver.com/?url=http://test1.com
EX) https://www.naver.com/?url=http://169.254.169.254/latest/meta-data
- ?url=http://test1.com 처럼 주소를 넘기면, 서버가 그 주소로 요청을 보내도록 유도합니다.
- 사용자는 못 가는 내부 시스템이나 클라우드 메타데이터(자격증명) 등에 서버가 접근해 정보 유출·권한 탈취가 날 수 있습니다.
- OWASP TOP 10에서 A10 항목으로 공식 포함
기업에서 SSRF 차단을 요청하는 이유
1. 클라우드 메타데이터 자격증명 탈취 위험이 널리 알려짐
IMDS(예: 169.254.169.254)를 SSRF로 조회해 IAM 크리덴셜을 탈취·확장하는 공격 시나리오가 대형 사고를 통해 대중화되었습니다(예: Capital One 사례). 그 이후 AWS가 IMDSv2를 내놓고(2019) 적용 확대를 권고(2023)하면서, 기업들이 WAF·아웃바운드 통제·허용목록 정책을 강화하고 있습니다.
2. 마이크로서비스/서버-사이드 페치 기능 증가
URL 인자 기반의 이미지/웹훅/프록시/집계기 등 “서버가 외부에 요청 보내는” 기능이 폭증하면서 공격 면이 커졌습니다. 클라우드 환경에서는 이를 통해 내부 인프라나 자격증명에 접근할 수 있어 피해 영향이 큽니다
3. 표준·컴플라이언스의 압력(인지도 상승)
OWASP Top 10에 **정식 항목(A10)**으로 들어가면서 보안 심사·거버넌스 체크리스트에 SSRF가 명시되고, 차단 정책 도입(예: WAF의 SSRF Protection, egress 제한, DNS 검증 등)을 요구받는 경우가 늘었습니다.
SSRF 공격을 완화하는 방법(Feat. F5 AWAF)
1. Allow URI Parameter 설정
-> 필자는 royalroyal.com으로 설정
2. SSRF Allow/Deny List 설정
-> 필자는 Allow: test1.com , Deny : test2.com으로 설정
3. Blocking setting에서 Parameter, SSRF관련 Rule Enabled
4. 결과
[test1.com 허]
[test2.com 차단]
한 줄 코멘트 : WAF에서는 위와 같이 URI 파라미터와 SSRF Host를 통해서 막을 수 있습니다. 추가적으로 SSRF를 완화하기 위해 다층 방어를 기본으로 설정합니다.