pile·
보안·vercel-blogVercel Blog·

Vercel 보안 현황 정리: 봇 방어, DoS 완화, 주요 인사이트

Vercel이 2025년 5월 보안 현황을 공개했다. 2월 이후 108만 개 이상 고유 IP에서 1,480억 건의 악성 요청을 차단했으며, 전분기 대비 70% 증가세를 보인다. Bot Protection 공개 베타, 복수 CVE 선제 패치, DoS 실시간 완화 개선을 포함한 종합 보안 업데이트다.

핵심 포인트
  • 2월 이후 1,480억 건 악성 요청 차단, 고유 공격 IP가 전분기 대비 468% 급증했다.
  • DoS 완화 시스템이 전 세계 초당 55만 건 이벤트를 분석하며 중앙값 2.5초, P99 3.5초 이내 완화를 달성한다.
  • Bot Protection 공개 베타 시작 — 모든 사용자에게 무료로 비브라우저 트래픽 챌린지 기능을 제공한다.
  • React Router/Remix, SAMLStorm, Next.js 미들웨어 관련 다수 CVE를 선제 패치했다.
  • MFA/TOTP 지원, 커스텀 룰 OR 연산자, ASN·위치 메타데이터 IP 강화 기능이 추가됐다.
상세 정리
  • 공격 규모: 2월 이후 1,480억 건 악성 요청을 108만 개 고유 IP에서 차단했다. 악성 요청 전분기 대비 70% 증가, 고유 공격 IP는 468% 급증했다.
  • 공격 출처 상위 국가: 미국(550억), 아일랜드(290억), 싱가포르(70억), 홍콩(50억), 독일(30억) 순이다.
  • Bot Protection 베타: 새로운 Bot Filter가 공개 베타로 출시됐으며 모든 사용자에게 무료다. 비브라우저 트래픽에 챌린지를 부과하고 검증된 웹훅과 내부 작업은 로그-온리 미리보기 모드로 보존한다.
  • DoS 완화 성능: 전 세계에서 초당 55만 건 이벤트를 분석한다. 중앙값 완화 시간 2.5초, P99 3.5초를 달성한다.
  • CVE 패치 — React Router/Remix: CVE-2025-43864/43865, CVE-2025-31137 패치가 완료됐다.
  • CVE 패치 — SAMLStorm: 인증 우회 취약점 CVE-2025-29774/29775를 선제 대응했다.
  • CVE 패치 — Next.js: 미들웨어 관련 CVE-2025-29927, CVE-2025-30218을 패치했다.
  • 신규 보안 기능: MFA/TOTP 지원 추가, 커스텀 룰에 OR 연산자 지원, IP 강화 데이터에 ASN 및 위치 메타데이터 포함, 프리뷰 도메인 시스템 우회 룰 확장이 이루어졌다.
왜 읽나대규모 웹 인프라의 보안 운영 현황을 수치로 파악하고 최근 주요 CVE 패치 내역을 한눈에 확인하려는 SRE·보안 엔지니어에게 유용하다.
vercel-blog
Vercel Blog 블로그
원문은 여기서 이어서 읽을 수 있어요
원문 읽기
읽음 (0)

이 글과 비슷한

  1. 보안·cloudflare-blogCloudflare Blog·

    사이트 소유자를 위한 새 AI 트래픽 제어 옵션

    Cloudflare가 Content Independence Day 1주년을 맞아 웹사이트 소유자가 AI 트래픽을 목적별로 세분화해 제어할 수 있는 새 시스템을 공개했다. 기존 "AI 봇 차단" 토글을 넘어 Search·Agent·Training 세 카테고리로 봇을 분류하고, robots.txt에 콘텐츠 재사용 범위를 선언하는 새 use= 시그널을 도입했다. 멀티퍼포스 봇은 가장 제한적인 카테고리 규칙이 적용되며, 2026년 9월 15일부터 광고 페이지에 새 기본값이 적용된다.

    #web-security#bot-management#robots-txt+2
  2. 보안·cloudflare-blogCloudflare Blog·

    Cloudflare 앱 생태계 OAuth 전면 개방 — Hydra 마이그레이션 내막

    Cloudflare가 OAuth 인프라를 Hydra 1.X에서 2.X로 업그레이드하면서 자체 관리 OAuth를 전체 개발자에게 개방한 과정을 다룬다. 스키마 변경으로 인한 인덱스 락 문제, 블루-그린 배포 전략, 전환 중 revocation 큐 설계, 전환 후 리프레시 토큰 버그까지 실제 운영 사고와 해결을 상세히 기록했다.

    #database-migration#zero-downtime#oauth+2
  3. 보안·cloudflare-blogCloudflare Blog·

    양자 내성 암호화 행정명령(EO 14409) — 2030 전환 기한과 조직 대응 방안

    2026년 6월 22일 트럼프 대통령이 서명한 행정명령 EO 14409는 미 연방 기관에 2030년까지 암호화(키 교환) 전환, 2031년까지 디지털 서명 전환을 요구한다. Cloudflare는 이미 자사 네트워크 브라우저 트래픽의 2/3 이상을 PQC(Post-Quantum Cryptography)로 보호 중이며, 이 글은 행정명령의 기술적 함의와 조직이 지금 당장 해야 할 일을 정리한다.

    #tls#cryptography#post-quantum-cryptography+2