웹 서버 및 리버스 프록시로 전 세계에서 널리 쓰이는 NGINX에서 심각한 고위험군 보안 취약점인 CVE-2026-27654가 발견되어 긴급 보안 권고가 발표되었습니다. 최근 금융당국을 비롯한 주요 기관에서도 해당 취약점에 대한 긴급 점검 지시가 내려진 만큼, NGINX 기반 인프라를 운영 중인 시스템 관리자분들은 설정을 점검하고 즉시 패치를 진행하시기 바랍니다.
1. 취약점 개요
- CVE 번호: CVE-2026-27654
- 취약점 유형: 힙 기반 버퍼 오버플로우 (Heap-based Buffer Overflow / size_t Underflow)
- 취약점 심각도: 고위험 (High / CVSS 스코어 8.2)
- 영향을 받는 대상:
- NGINX Open Source 1.29.6 이하 버전
- NGINX Plus R34 이하 버전
2. 발생 원인 및 취약점 메커니즘
이번 취약점은 NGINX의 ngx_http_dav_module(WebDAV 모듈) 내부의 파일 복사/이동 처리 함수인 ngx_http_dav_copy_move_handler()의 논리적 오류에서 비롯됩니다.
특정 조건이 만족될 때 메모리 크기를 계산하는 과정에서 size_t 변수의 언더플로우(Underflow)가 발생합니다. 이로 인해 시스템은 매우 큰 메모리 복사(memcpy) 길이를 산출하게 되고, 결과적으로 정해진 힙 할당 경계를 초과하여 데이터를 덮어쓰는 힙 버퍼 오버플로우가 유발됩니다.
취약점이 성립하기 위한 NGINX 설정 조건
해당 취약점은 NGINX가 단순히 켜져 있다고 해서 무조건 작동하는 것은 아니며, nginx.conf 설정 파일이 아래의 세 가지 조건을 동시에 만족할 때 노출됩니다.
- NGINX 빌드 시 WebDAV 모듈(
--with-http_dav_module)이 포함되어 활성화된 경우 - location 블록 내에서 정규식이 아닌 접두사 매칭(Prefix Match) 방식을 사용하는 경우
- 해당 블록 안에
dav_methods지시어로 MOVE 또는 COPY 메서드가 허용되어 있고, 로컬 디렉터리를 매핑하기 위해 alias 지시문이 사용된 경우
3. 발생 가능한 위협 (Impact)
인증되지 않은 원격의 공격자가 특수하게 조작된 HTTP MOVE 또는 COPY 요청을 보낼 경우 다음과 같은 피해가 발생할 수 있습니다.
- 서비스 거부 공격 (DoS): 힙 오버플로우가 유발되면 NGINX의 워커 프로세스(Worker Process)가 즉시 크래시(Crash)를 일으키며 종료됩니다. 마스터 프로세스가 워커를 재연결하더라도, 공격자가 지속적으로 요청을 보내면 서버가 무한 다운 타임에 빠질 수 있습니다.
- 임의 파일 수정 및 권한 상승: 워커 프로세스가 접근 가능한 다큐먼트 루트(Document Root) 외부의 파일 이름을 임의로 수정하거나 원격 파일 쓰기를 유발할 수 있습니다. 단, NGINX 워커 프로세스는 일반적으로 낮은 권한(nobody 또는 nginx 유저)으로 실행되므로 전체 시스템 권한 장악(RCE) 위험성은 상대적으로 제약적입니다.
4. 대응 및 조치 방법
방법 A: 최신 보안 패치 버전으로 업데이트 (가장 권장됨)
NGINX 개발사 및 배포판 벤더사에서 오류를 수정한 패치 버전을 릴리즈했습니다. 운영체제별 패키지 관리자를 통해 즉시 업데이트를 적용해야 합니다.
- NGINX Open Source 사용자: 1.29.7 이상 버전으로 업데이트
- NGINX Plus 사용자: R35 이상 버전으로 업데이트
# RHEL / Rocky Linux 계열
sudo dnf clean metadata && sudo dnf update nginx
# Ubuntu / Debian 계열
sudo apt update && sudo apt --only-upgrade install nginx방법 B: 임시 완화 조치 (업데이트가 불가한 경우)
당장 웹 서버 업데이트 및 재시작이 어려운 상황이라면, 취약점의 진입점이 되는 WebDAV 설정을 임시로 보완할 수 있습니다.
- 사용하지 않는 WebDAV 기능이라면
nginx.conf에서dav_methods지시문 내 MOVE 및 COPY 설정을 임시로 삭제하거나 모듈을 비활성화합니다. - WebDAV 기능을 반드시 유지해야 한다면, location 블록 내부에서 HTTP Destination 요청 헤더가 해당 location 이름으로 시작하는지 검증하는 로직을 추가하여 임의 경로 참조를 차단합니다.
5. 결론
CVE-2026-27654 취약점은 외부 노출도가 높은 웹서버를 대상으로 인증 없이 원격에서 Denial of Service(DoS)를 유발할 수 있다는 점에서 위협 수준이 높습니다. 특히 WebDAV 모듈과 alias 지시문을 조합하여 정적 파일 관리 서버나 공유 스토리지 서버를 운영 중인 조직이라면 지금 즉시 NGINX 설정 파일 구성과 버전을 점검하시기 바랍니다.
'서버 리뷰' 카테고리의 다른 글
| OpenSSL 정보 유출 보안 취약점(CVE-2026-31790) 분석 및 업데이트 권고 (0) | 2026.05.30 |
|---|---|
| OpenSSH 루트 권한 인증 우회 취약점(CVE-2026-35414, 일명 SplitSSHell) 분석 및 조치 가이드 (0) | 2026.05.30 |
| [Network/Java] OpenSSL 검증 코드와 Java PKIX 에러 매핑 완벽 정리 (0) | 2026.05.18 |
| NAT와 공인 IP에 대한 이해 (0) | 2025.09.18 |
| MariaDB의 `mysql` 계정: 상징적 의미, 삭제 방법 및 로그인 영향 (0) | 2025.09.11 |
