서버 측 요청 위조(Server-Side Request Forgery, SSRF)는 API Security 전문가가 알아야 할 중요한 취약점입니다. 기업은 공격 시나리오를 이해하고 적절한 방어 전략을 구축함으로써 API를 보호하고 내부 기업 네트워크 리소스 및 민감한 정보에 대한 무단 접속을 방지할 수 있습니다.
API Security는 최신 웹 애플리케이션의 중요한 측면이며, API Security 전문가에게는 최신 취약점을 업데이트하는 것이 필수적입니다. 이 문서에서는 OWASP API 상위 10대 취약점 목록의 7번째 항목인 서버 측 요청 위조에 대해 자세히 알아봅니다.
SSRF는 API가 파일 스토리지 또는 외부 리소스와 같은 다른 서비스를 호출할 때 발생합니다. 이 취약점을 통해 공격자는 API의 요청을 조작하고 일반적으로 방화벽 뒤에서 보호되는 내부 기업 네트워크 리소스에 무단으로 접속할 수 있습니다. 이렇게 조작된 요청은 민감한 메타데이터와 기타 내부 리소스에 노출되는 등 심각한 보안 유출로 이어질 수 있습니다.
서버 측 요청 위조를 이해하기 위해 기업 네트워크가 방화벽으로 보호되는 시나리오를 살펴보겠습니다. 이 네트워크 내에는 컴퓨터, 개인 디바이스, 서버 등 다양한 디바이스가 있을 수 있습니다. 그러나 웹 서버는 기업 네트워크와 인터넷에 모두 연결되어 두 네트워크 사이의 다리 역할을 합니다.
공격자는 웹 서버 또는 클라우드 서버를 피봇 포인트로 활용해 방화벽을 우회하고 내부 기업 네트워크 리소스에 접속하는 방식으로 SSRF를 악용할 수 있습니다. 이러한 무단 접속에는 파일 읽기, 포트 스캔 또는 원격 코드 실행과 같은 활동이 포함될 수 있습니다.
예를 들어, 공격자는 파일 서버에서 아바타를 검색하도록 설계된 API 요청을 조작해 다른 디렉터리에 저장된 민감한 비즈니스 또는 재무 문서에 접속할 수 있습니다. 마찬가지로 클라우드 환경에서 공격자는 서버 측 요청 위조를 악용해 EC2 인증정보와 같은 클라우드 리소스에 접속할 수 있습니다.
사용자 인풋과 매개변수는 SSRF 공격을 활성화하는 데 중요한 역할을 합니다. SSRF 취약점은 API가 검증되지 않은 사용자 인풋을 허용하거나 HTTP 요청의 매개변수를 부적절하게 처리할 때 종종 발생합니다. 공격자는 이러한 매개변수를 조작해 내부 리소스 또는 기업 네트워크의 기타 민감한 부분과 같은 의도하지 않은 대상으로 요청을 보낼 수 있습니다. 사용자 인풋을 적절히 검증하고 매개변수를 삭제하면 SSRF의 리스크를 크게 줄일 수 있으므로 공격자가 이러한 취약점을 악용해 내부 리소스에 접속하지 못하게 할 수 있습니다.
API는 기본적으로 안전한 것으로 간주되는 경우가 많지만, 기본적으로 웹 애플리케이션이라는 점을 기억해야 합니다. 따라서 웹 애플리케이션에 영향을 미치는 모든 취약점은 API에도 영향을 미칠 수 있습니다. API를 통해 외부 리소스를 가져오는 행위는 심각한 리스크를 초래하기 때문에 SSRF는 API Security 전문가에게 중요한 관심사입니다.
SSRF를 방어하는 가장 효과적인 방법 중 하나는 API와 백엔드 서비스 간의 통신을 보호하는 것입니다. 여기에는 엄격한 접속 제어 조치를 구축하고, 내부 리소스가 무단 요청에 노출되지 않도록 보장하고, 공격자가 내부 IP 주소를 확인하지 못하도록 DNS 설정을 신중하게 구성하는 것이 포함됩니다. 또한 암호화된 채널을 사용하고 API 엔드포인트가 신뢰할 수 있는 백엔드 서비스와만 통신하도록 하면 SSRF 공격의 리스크를 크게 줄일 수 있습니다. 보안 프로토콜을 정기적으로 업데이트하고 OWASP API Security 상위 10대 모범 사례에 부합하는 적절한 API 설계를 보장하는 것도 중요합니다.
SSRF의 리스크를 방어하기 위해 몇 가지 조치를 구축할 수 있습니다.
서버 측 요청 위조(SSRF) 공격을 방지하려면 기술적 조치와 인식 교육이 필요합니다. SSRF 공격 예방 전략은 다음과 같습니다.
다음은 SSRF 공격으로 시스템 또는 애플리케이션이 감염되었다는 일반적인 징후입니다.
보안 전문가는 Burp Suite, OWASP ZAP, SSRFmap과 같은 다양한 툴을 활용하여 자동화된 서버 측 요청 위조 취약점 스캔을 수행할 수 있습니다. cURL 및 Postman과 같은 수동 테스트 툴도 효과적입니다. API 보안 테스트 툴은 SSRF 취약점을 식별하는 데 유용합니다.
Akamai는 온라인 비즈니스를 지원하고 보호하는 사이버 보안 및 클라우드 컴퓨팅 기업입니다. 시장을 대표하는 보안 솔루션, 탁월한 위협 인텔리전스, 글로벌 운영팀이 모든 곳에서 기업 데이터와 애플리케이션을 보호하는 심층적 방어 기능을 제공합니다. Akamai의 풀스택 클라우드 컴퓨팅 솔루션은 세계에서 가장 분산된 플랫폼에서 성능과 경제성을 제공합니다. 글로벌 기업들은 자신감 있게 비즈니스를 성장시키는 데 필요한 업계 최고 수준의 안정성, 확장성, 전문성을 제공하는 Akamai를 신뢰합니다.
