sfImageSanitizer: 이미지 파일 분석

18.09.2025 DevKim

sfImageSanitizer는 이미지 파일의 무결성 검증 및 심층 분석을 위한 도구입니다. 사용자가 파일의 안전성을 확인하거나, 파일 구조 및 메타데이터를 검토하는 데 활용할 수 있습니다.

1. 지원 기능 및 기술적 상세

파일 형식 식별
- 지원: JPEG, PNG (APNG 포함), GIF, SVG, WebP, TIFF, BMP, ICO, AVIF, HEIC, JPEG2000
- 기술: Magic Number 기반 식별, 확장자 기반 힌트, 지능형 분석 (확장자 불일치 시 전체 스캔)
구조 분석
- 지원: JPEG (마커), PNG (청크), GIF (블록), ISOBMFF (박스) 기반 구조 분석
- 기술: 파일 포맷별 스캐너 모듈 활용, 순차적 바이트 스트림 처리
메타데이터 추출
- 지원: EXIF, XMP, ICC 프로파일 등 (포맷별 지원 범위 상이)
- 기술: 외부 라이브러리 의존 없이, 텍스트 기반 패턴 매칭 (SVG), 바이너리 데이터 파싱 (TIFF)
해상도 추출
- 지원: JPEG, PNG, GIF, BMP, JPEG2000
- 기술: 파일 헤더 내 해상도 정보 직접 파싱 (브라우저 렌더링 엔진 미사용)
보안 검사
- 지원: SVG (스크립트 태그), EXIF (의심스러운 코멘트)
- 기술: 텍스트 기반 패턴 매칭, 블랙리스트 기반 필터링
자동 변환
- 지원: 확장자와 실제 포맷 불일치 시, 실제 포맷으로 자동 변환 후 분석 진행
- 기술: 서버 측 구현 필요 (클라이언트 측 JavaScript 미사용)
헥스 덤프 뷰
- 지원: 파일의 첫 부분 (청크) 헥스 덤프 표시
- 기술: 서버 측 구현 필요 (클라이언트 측 JavaScript 미사용)

파일 크기 제한: 워드프레스 서버 설정 (upload_max_filesize, post_max_size)에 따라 파일 크기 제한이 적용됩니다.
지원 포맷: 모든 이미지 포맷을 완벽하게 지원하지는 않습니다. 지원되지 않는 포맷은 분석이 스킵됩니다.
보안 검사: 완벽한 보안을 보장하지 않습니다. 알려진 패턴 기반 검사만 수행하며, 새로운 공격 패턴은 탐지하지 못할 수 있습니다.
자동 변환: 서버 측 구현이 필요하며, 워드프레스 플러그인 또는 테마에서 해당 기능을 제공해야 합니다.
헥스 덤프 뷰: 서버 측 구현이 필요하며, 워드프레스 플러그인 또는 테마에서 해당 기능을 제공해야 합니다.
JavaScript 의존성 제거: 클라이언트 측 JavaScript 코드를 사용하지 않으므로, 동적인 UI 요소 (예: 진행률 표시줄, 헥스 덤프 뷰)는 구현할 수 없습니다.
워드프레스 테마 호환성: 워드프레스 테마의 스타일과 충돌할 수 있습니다. 필요에 따라 CSS 스타일을 조정해야 합니다.

Q: “알 수 없는 청크” 또는 “알 수 없는 박스”는 무엇을 의미하나요?A: 해당 파일 포맷의 표준에 정의되지 않은 데이터 블록을 의미합니다. 악성 코드 삽입 또는 파일 손상의 결과일 수 있습니다.
Q: “EOI 마커를 찾을 수 없습니다.” 또는 “IEND 청크가 손상되었습니다.” 오류는 무엇을 의미하나요?A: 파일이 정상적으로 종료되지 않았음을 의미합니다. 파일이 손상되었거나, 악의적으로 조작되었을 가능성이 있습니다.
Q: “SVG 파일 내부에 잠재적으로 위험한 <script> 태그가 존재합니다.” 경고는 무엇을 의미하나요?A: SVG 파일 내부에 JavaScript 코드가 포함되어 있어, 웹 브라우저에서 실행될 경우 보안 취약점을 유발할 수 있음을 의미합니다.

이 가이드라인은 sfImageSanitizer를 사용하는 개발자와 사용자에게 기술적인 이해를 돕기 위해 작성되었습니다. 궁금한 점이나 필요한 기능이 있다면 언제든지 문의해주세요.