피드로 돌아가기
Most webhook security guides protect the wrong side. The scary part is delivery.
Dev.toDev.to
Security

DNS Rebinding 방지를 위한 Webhook Delivery Worker 보안 아키텍처 설계

Most webhook security guides protect the wrong side. The scary part is delivery.

Aditya Agarwal2026년 4월 18일3advanced

AI 요약

Context

대부분의 Webhook 시스템이 Inbound Payload 검증을 위한 HMAC 도입에만 집중하며 Outbound Delivery Worker의 보안 위협을 간과함. 특히 Tenant가 제공한 URL을 통한 SSRF 공격 및 Cloud Metadata Endpoint 유출 위험이 잠재된 구조적 한계 존재.

Technical Solution

  • DNS Rebinding 공격 차단을 위해 Registration 시점이 아닌 Delivery 시점의 실시간 IP Validation 수행
  • Hostname Resolution 직후 Resolve된 IP를 Private IP Blocklist(10.x, 172.16-31.x, 192.168.x, 169.254.x 등)와 대조하여 연결 여부 결정
  • HTTP Redirect 발생 시 각 Hop마다 IP 재검증을 수행하여 내부망 우회 접속 시도를 원천 차단
  • Delivery Worker를 내부 서비스 및 Metadata Endpoint 접근이 불가능한 독립된 Network Segment로 격리
  • 모든 Tenant URL을 Hostile한 대상으로 간주하는 Zero Trust 기반의 Outbound 요청 처리 로직 구현

실천 포인트

- Webhook URL 등록 시점이 아닌 실제 요청 전송 직전에 IP를 Resolve하고 검증하는가? - Private IP Range 및 Loopback 주소에 대한 Blocklist가 최신 상태로 유지되고 있는가? - HTTP Client의 Auto-redirect 설정이 비활성화되었거나, Redirect 시마다 IP 검증 로직이 작동하는가? - Delivery Worker가 사용하는 IAM Role 및 Network ACL이 최소 권한 원칙에 따라 격리되어 있는가?

태그

#DNS Rebinding#Network Isolation#SSRF#Webhook#Zero Trust
원문 읽기