![Security Hub 알람으로 [EC2 instances should use Instance Metadata Service Version 2 (IMDSv2)]가 왔을 때 대응 방법](https://images.ctfassets.net/ct0aopd36mqt/wp-refcat-img-cea52bc8a6ec5cad9021b38df4a08b9e/24c76ee7c1ae7aa7f9676a59c77f8702/aws-security-hub?w=3840&fm=webp)
Security Hub 알람으로 [EC2 instances should use Instance Metadata Service Version 2 (IMDSv2)]가 왔을 때 대응 방법
Security Hub 알람으로 Security Hub 알람으로 [EC2 instances should use Instance Metadata Service Version 2 (IMDSv2)]가 왔을 때 대응 방법을 정리해 봤습니다.
2025.12.19
안녕하세요 클래스메소드 김재욱(Kim Jaewook) 입니다. 이번에는 Security Hub 알람으로 Security Hub 알람으로 [EC2 instances should use Instance Metadata Service Version 2 (IMDSv2)]가 왔을 때 대응 방법을 정리해 봤습니다.
문제 발생
Security Hub 알람으로 다음과 같은 메일을 받았습니다.
Security Hubでセキュリティ上好ましくない設定を検知しました。
意図したものであるか確認してください。
コントロールID: EC2.8
検知内容: EC2 instances should use Instance Metadata Service Version 2 (IMDSv2)
リソース種類: AwsEc2Instance
현재 상황을 분석해 보면 다음과 같습니다.
【EC2.8】IMDSv2의 강제화
- 내용: EC2 인스턴스의 메타데이터 서비스가 IMDSv2(Instance Metadata Service Version 2)를 사용하는지 확인
- 현상:특정 리전에 구축한 서버가 「IMDSv1」로 설정
- 대응:해당 서버를 「IMDSv2」로 변경 필요
- IMDSv1에서 IMDSv2 변경하는 이유 : 기존의 IMDSv1은 SSRF 등의 취약성과 결합되어 자격 증명이 유출되어 그 EC2에 할당된 IAM 역할의 권한을 악용되어 버릴 가능성이 있습니다. IMDSv2는 메타데이터를 참조할 때 토큰을 필수로 하는 보안 업데이트를 하고 있습니다. SSRF등의 공격의 대책으로서 IMDSv2로의 이행을 추천합니다.
AWS에서도 IMDSv1을 비활성화 하고, IMDSv2를 사용하라고 권하고 있습니다.
문제 해결
해당 EC2 인스턴스를 확인해 보면 [IMDSv2]이 [optional]인 것을 확인할 수 있습니다.
해당 메타데이터 옵션(IMDSv2)은 다음과 같이 나눠집니다.
- 선택 사항(IMDSv1)
- 필수(IMDSv2)
IMDSv2로 변경하기 위해 다음으로 이동합니다.
[작업] → [인스턴스 설정] → [인스턴스 메타데이터 옵션]
[필수]를 선택합니다.
이후 EC2 인스턴스를 확인해 보면 [required] 즉 [필수]로 변경된 것을 확인할 수 있습니다.
