https://blog.plura.io/ko/tags/%EC%B2%B4%ED%81%AC%EB%A6%AC%EC%8A%A4%ED%8A%B8/ Recent content in 체크리스트 on PLURA Blog Hugo ko © 2014-2026 Qubit Security Inc. All Rights Reserved. Sat, 04 Apr 2026 00:00:00 +0000 https://blog.plura.io/ko/tech/checklist-xff-spoofing/ Sat, 04 Apr 2026 00:00:00 +0000 https://blog.plura.io/ko/tech/checklist-xff-spoofing/ <h2 id="-공격자는-왜-x-forwarded-for를-조작할까">🛡️ 공격자는 왜 X-Forwarded-For를 조작할까</h2> <p>웹 서비스 앞단에<br> CDN, 로드밸런서, 리버스 프록시, WAF가 놓이면<br> 원 서버는 더 이상 인터넷 사용자의 실제 연결 IP를 직접 보지 못합니다.</p> <p>이때 업계에서는 보통<br> <code>X-Forwarded-For(XFF)</code> 헤더에<br> “원래 요청자의 IP”를 담아 뒤쪽 시스템에 전달합니다.</p> <p>문제는 여기서 시작됩니다.</p> <p><code>X-Forwarded-For</code>는<br> <strong>보안 장비 전용 메타데이터가 아니라, HTTP 헤더</strong>입니다.</p> <p>즉,<br> 클라이언트도 넣을 수 있고<br> 공격자도 조작할 수 있습니다.</p> <p>그래서 백엔드가<br> “XFF에 들어 있으면 진짜 사용자 IP겠지”라고 생각하는 순간,<br> 공격자는 아주 손쉽게 자신의 출발지를 흐릴 수 있습니다.</p>