tag
클라우드
이 태그가 달린 문서 2건
2026-06-07
Capital One 데이터 유출 사고(2019) — 단 하나의 SSRF가 1억 건이 넘는 기록을 유출시킨 경위와 방어법
단 하나의 SSRF가 메타데이터 엔드포인트에 도달 → 과도한 권한의 IAM 임시 자격 증명 → S3 일괄 복사로 약 1억 600만 건이 유출되었습니다. 모든 단계에서 막을 수 있었습니다. 여러분의 환경에서는 IMDSv2, IAM 최소 권한, 그리고 아웃바운드 조회에 대한 허용 목록이 핵심입니다.
2026-06-07
SSRF(Server-Side Request Forgery)란
SSRF는 외부 입력 URL을 악용해 서버가 내부 자원(내부 IP, 클라우드 메타데이터)을 치게 만듭니다. URL을 가져오는 기능이 있다면, 목적지 허용 목록, 내부 대상 차단, 그리고 리디렉션/DNS 리바인딩 구멍을 닫는 것이 필요합니다. Capital One 침해의 진입점이었습니다.