Tommaso Bertocchi가 Node.js 기반 파일 스캐너 pompelmi를 개발해 파일 업로드 보안 설정의 진입 장벽을 낮춤

Context

파일 업로드 보안은 네트워크·API 보안에 밀려 간과되는 공격 벡터이나, 실제로는 ZIP bomb 같은 리소스 소진 공격, MIME 타입 우회, 경로 조작 등 복잡한 위협을 포함한다. 기존에는 멀웨어 스캐너 구축이 도메인 전문성과 수 시간의 설정을 요구해 개발자들이 구현을 미루는 경향이 있었다.

Technical Solution

• Node.js 네이티브 구현으로 추가 런타임 관리 제거: 기존 Node.js 이코시스템(React, Angular, Next.js)과 동일 환경에서 실행되도록 설계
• 스트림 기반 인메모리 스캔으로 디스크 I/O 제거: Node.js streams와 설정 가능한 버퍼 제한을 사용해 업로드 중 파일 바이트를 메모리에서 직접 분석
• Magic bytes를 이용한 즉시 정책 위반 탐지: 파일 타입을 빠르게 식별하고 ZIP bomb 같은 위반 정책은 전체 파일 처리 전에 스캔 종료
• 프로세스 내 엔진 실행으로 네트워크 지연 제거: 외부 IPC 또는 네트워크 호출 없이 동일 프로세스에서 스캔 수행
• 기본 정책과 YARA 규칙의 조합: 사전 구성된 정책 프리셋과 Common Heuristics Scanner로 ZIP bomb 및 MIME/Magic Byte 검증을 기본 제공하되, 사용자가 YARA 규칙으로 커스터마이징 가능
• 계층화된 방어 아키텍처: 서버 측 검증, 아카이브 체크, 리소스/시간 제한, 선택적 YARA 스캔으로 다층 보호 구현