피드로 돌아가기
Dev.toSecurity
원문 읽기
Next.js 16.2 Turbopack 기반 SRI 자동화로 CDN 변조 공격 차단
Supply Chain Security in Next.js JavaScript Files with Subresource Integrity
AI 요약
Context
CDN이나 외부 패키지 레지스트리 침해 시 악성 코드가 사용자 브라우저에서 직접 실행되는 공급망 공격 위험 존재. 기존 수동 해시 관리 방식은 빌드 파이프라인의 병목을 유발하여 보안 업데이트의 적시성을 저해하는 한계점 보유.
Technical Solution
- Turbopack 빌드 시스템 내 SHA-384/SHA-256 해시 계산 로직 통합을 통한 SRI 자동 생성
- 빌드 단계에서 생성된 JS 번들의 암호화 해시를 HTML script 태그의 integrity 속성에 자동 삽입하는 구조 설계
- 브라우저 레벨의 해시 비교 검증을 통한 전송 중 변조된 리소스의 실행 원천 차단
- 하위 호환성 확보를 위해 여러 해시 알고리즘을 공백으로 구분하여 제공하는 Fallback 메커니즘 적용
- 빌드 속도 개선을 통한 보안 설정 변경 및 해시 재생성 주기를 단축하여 공격 노출 시간 최소화
실천 포인트
1. Next.js
1
6.2 이상 버전의 Turbopack 빌드 설정에서 SRI 활성화 여부 확인
2. 배포 후 HTML 소스 내 script 태그의 integrity 속성 및 SHA-384 해시 값 검증
3. SRI 단일 방어의 한계를 보완하기 위한 CSP(Content Security Policy) 헤더 동시 적용
4. 빌드 서버 침해 시 SRI 무력화 가능성을 고려한 CI/CD 파이프라인 접근 제어 및 감사 로그 강화