웹 서버의 심장과도 같은 아파치(Apache) 소프트웨어에서 원격 코드 실행(RCE)으로 이어질 수 있는 치명적인 보안 취약점이 다수 발견되어 IT 업계에 긴장감이 감돌고 있습니다.
아파치 소프트웨어 재단은 즉각 HTTP 서버와 MINA 프레임워크에 대한 긴급 보안 업데이트를 배포하고, 서버 관리자들의 신속한 대응을 촉구했습니다.
심각도 ‘Critical’, HTTP 서버를 겨눈 치명적 결함
이번에 공개된 아파치 HTTP 서버 2.4.67 버전은 무려 11개의 보안 취약점에 대한 패치를 포함하고 있습니다.
이 중 대다수는 이전 모든 버전에 영향을 미치는 것으로 확인되어 파급력이 상당할 것으로 보입니다.
가장 주목해야 할 취약점은 CVE-2026-23918입니다.
이는 HTTP/2 프로토콜 처리 과정에서 발생하는 ‘이중 해제(double-free)’ 버그로, 메모리 오류를 유발하여 잠재적으로 원격 코드 실행까지 가능한 심각한 결함입니다.
공격자는 조작된 초기화 신호(early reset)를 트리거하는 것만으로 서버를 마비시키는 서비스 거부(DoS) 공격을 감행하거나, 최악의 경우 서버 제어권을 탈취할 수도 있습니다.
또 다른 치명적 취약점인 CVE-2026-28780은 ‘힙 버퍼 오버플로우’ 문제입니다.
공격자가 특수하게 조작된 AJP(Apache JServ Protocol) 메시지를 전송할 경우, 메모리 영역을 침범하여 서비스 거부 상태를 유발하고 임의의 코드를 실행할 수 있게 됩니다.
이는 웹 애플리케이션 서버와 웹 서버 간 통신 프로토콜의 약점을 파고든 공격입니다.
DoS부터 정보 유출까지, 연쇄적 위협의 고리
이번 패치는 단순히 원격 코드 실행 취약점에만 국한되지 않습니다.
다양한 유형의 공격으로 이어질 수 있는 여러 결함이 함께 해결되었습니다.
시스템 관리자들이 반드시 인지해야 할 주요 취약점은 다음과 같습니다.
- 서비스 거부(DoS) 유발 취약점: CVE-2026-29168, CVE-2026-29169, CVE-2026-33007 등 3개의 취약점은 공격자가 서버의 자원을 고갈시키거나 비정상적인 종료를 유도하여 정상적인 서비스를 방해할 수 있습니다.
- 정보 유출 취약점: CVE-2026-24072, CVE-2026-33857, CVE-2026-34032, CVE-2026-34059 등 4개에 달하는 취약점은 서버의 민감한 정보나 설정 값이 외부로 유출될 가능성을 내포하고 있습니다.
- 기타 주요 취약점: HTTP 응답을 조작할 수 있는 CRLF 시퀀스 처리 미흡 문제(CVE-2026-33523)와 Digest 인증을 우회할 수 있는 타이밍 사이드 채널 약점(CVE-2026-33006)도 함께 패치되었습니다.
끝나지 않은 싸움, MINA 프레임워크의 ‘불완전한 패치’ 문제
네트워크 애플리케이션 프레임워크인 아파치 MINA에서도 두 가지 심각한 취약점이 발견되었습니다.
특히 이번 MINA 패치는 과거에 진행했던 보안 조치가 불완전했음을 드러냈다는 점에서 시사하는 바가 큽니다.
첫 번째 취약점 CVE-2026-42778은 ‘안전하지 않은 데이터 역직렬화(insecure deserialization)’ 문제입니다.
외부 데이터를 내부 객체로 변환하는 과정의 허점을 이용해 원격 코드 실행을 유발하는 공격인데, 놀랍게도 이 문제는 과거 CVE-2026-41409의 불완전한 수정이었고, 그 이전의 CVE-2024-52046 패치 또한 미흡했던 것으로 밝혀졌습니다.
땜질식 처방이 결국 더 큰 보안 홀을 만든 셈입니다.
두 번째 취약점 CVE-2026-42779 역시 마찬가지입니다.
허용 목록(allowlist) 검사를 부적절하게 처리하여 이를 우회하고 코드를 실행할 수 있는 이 결함은, 과거 CVE-2026-41635의 불완전한 패치에서 비롯되었습니다.
이는 복잡한 소프트웨어의 보안 취약점을 완벽하게 수정하는 것이 얼마나 어려운 과제인지를 명확히 보여줍니다.
패치만으론 부족하다, 개발자가 직접 챙겨야 할 후속 조치
아파치는 MINA 프레임워크 사용자들에게 단순히 최신 버전(2.2.7 또는 2.1.12)으로 업데이트하는 것만으로는 충분하지 않다고 경고했습니다.
이번 패치의 핵심은 개발자가 직접 후속 조치를 취해야만 보안이 완성된다는 점입니다.
업데이트 이후, 개발자는 ObjectSerializationDecoder 인스턴스에서 디코더가 수신할 클래스를 명시적으로 허용 목록에 추가해야 합니다.
이는 역직렬화 과정에서 신뢰할 수 있고 사전에 정의된 클래스만 처리하도록 강제하는 방어 메커니즘입니다.
이 작업을 수행하지 않으면 패치를 적용하더라도 여전히 잠재적인 역직렬화 공격에 노출될 수 있으므로 각별한 주의가 필요합니다.
이번 아파치 서버와 MINA의 대규모 보안 패치는 웹 인프라의 근간을 이루는 오픈소스 소프트웨어의 보안 유지가 얼마나 중요한지를 다시 한번 일깨워 줍니다.
특히 과거의 불완전한 패치가 새로운 취약점으로 이어진 사례는, 단순히 업데이트 버튼을 누르는 것을 넘어 시스템의 동작 원리를 이해하고 능동적으로 보안 설정을 강화해야 한다는 교훈을 줍니다.
지금 바로 운영 중인 서버의 버전을 확인하고 신속하게 대응해야 할 때입니다.
자주 묻는 질문 (FAQ)
Q: 제 서버가 이번 아파치 취약점에 영향을 받는지 어떻게 확인하나요?
A: 아파치 HTTP 서버 2.4.67 이전 버전을 사용 중이거나, 아파치 MINA 2.2.7 또는 2.1.12 이전 버전을 사용하고 있다면 이번에 발견된 취약점의 영향을 받습니다.
즉시 각 소프트웨어의 공식 사이트를 통해 최신 버전으로 업데이트하는 것이 시급합니다.
Q: 원격 코드 실행(RCE) 취약점이 왜 가장 위험한 공격으로 꼽히나요?
A: 공격자가 인터넷을 통해 서버에 원격으로 접속한 뒤, 마치 서버 관리자인 것처럼 원하는 명령어나 악성 코드를 자유롭게 실행할 수 있기 때문입니다.
이는 서버 완전 장악, 데이터베이스 정보 유출, 랜섬웨어 감염, 다른 시스템을 공격하기 위한 경유지 악용 등 최악의 피해로 직결될 수 있습니다.
Q: MINA 패치 후 클래스를 명시적으로 허용하라는 것은 정확히 무슨 뜻인가요?
A: 이는 보안 강화를 위한 필수적인 후속 조치입니다.
외부로부터 들어온 데이터를 프로그램이 사용하는 객체로 변환(역직렬화)할 때, 사전에 약속된 안전한 클래스 목록(allowlist)에 있는 것들만 변환을 허용하도록 코드 수준에서 명시적으로 설정하는 것을 의미합니다.
이를 통해 공격자가 만든 악의적인 객체가 시스템 내부에서 실행되는 것을 원천적으로 차단할 수 있습니다.
출처: https://www.securityweek.com/critical-high-severity-vulnerabilities-patched-in-apache-mina-http-server/