피드로 돌아가기
InfoQInfoQ
Backend

Spring Boot 4.1: gRPC 자동 설정 및 SSRF 방어 체계 구축

Spring Boot 4.1 Adds gRPC Auto-Configuration, SSRF Mitigation, and Kotlin 2.3 Support

Karsten Silz2026년 6월 15일3intermediate

Context

기존 gRPC 도입 시 수동 Bean 설정이나 외부 Starter 의존성에 따른 설정 파편화 발생. 또한 HTTP Client를 통한 내부 네트워크 공격 및 SSRF 보안 취약점에 노출된 구조적 한계 존재.

Technical Solution

  • gRPC 서버 및 클라이언트 Auto-Configuration 도입을 통한 인프라 설정 표준화
  • @GrpcAdvice 구현으로 gRPC 기반 애플리케이션의 중앙 집중형 Exception Handling 구조 설계
  • InetAddressFilter 기반의 화이트리스트/블랙리스트 필터링을 통한 HTTP Client SSRF 차단 로직 적용
  • LazyConnectionDataSourceProxy 활용으로 실제 SQL 실행 시점까지 DB 물리 연결을 지연시키는 Lazy Connection 전략 채택
  • Micrometer Context Propagation 자동화를 통한 @Async 비동기 스레드 간 Trace ID 및 Span 유지 구조 구현
  • Spring Data JPA의 비동기 Background Bootstrap 도입을 통한 대규모 JPA 모델 로딩 병목 해소

- gRPC 도입 시 @GrpcAdvice를 통한 전역 예외 처리 전략 수립 - 내부망 보안 강화를 위해 InetAddressFilter 기반의 outbound 요청 제한 검토 - 애플리케이션 기동 속도 개선을 위해 spring.datasource.connection-fetch=lazy 설정 적용 - 분산 추적 시스템 운영 시 @Async 메서드의 Context 전파 설정 확인

원문 읽기