18년 숨어있던 NGINX 치명적 결함 발견 “인증 없이 서버 장악 가능”

인증 없이 원격 코드 실행(RCE)과 서버 권한 탈취 가능성 제기
F5 “최신 버전 즉시 업데이트 필요” 추가 취약점 3종도 함께 패치

[보안뉴스 김형근 기자] 전 세계 웹 서버 시장에서 널리 사용되는 엔진엑스 플러스(NGINX Plus) 및 엔진엑스 오픈소스(NGINX Open Source)에서 18년 간 발견되지 않았던 심각한 보안 취약점이 공개됐다.

‘엔진엑스 리프트’(NGINX Rift)로 명명된 이 결함(CVE-2026-42945)은 리라이트 모듈(ngx_http_rewrite_module)에서 발생하는 힙 버퍼 오버플로우 취약점이다. 공격자는 특수하게 조작된 HTTP 요청만으로 별도 인증 절차 없이 원격코드실행(RCE)이나 서비스 거부(DoS) 공격을 수행할 수 있다.

특히 주소 공간 레이아웃 임의화(ASLR) 기능이 비활성화된 환경에선 공격자가 서버 권한을 탈취해 시스템 제어권을 장악할 가능성도 제기된다.

보안업체 F5와 취약점을 최초로 발견한 연구팀 뎁스퍼스트(depthfirst)에 따르면, 이 취약점은 특정 리라이트 설정과 정규 표현식 캡처 기능이 결합될 때 발생한다. 이 취약점은 4월 21일(현지시간) 책임 있는 공개 절차를 거쳐 공개됐으며, NGINX Open Source 1.30.1 및 NGINX Plus R32 P6 이상 버전에서 수정됐다.

이와 함께 SCGI 및 uwsgi 모듈에서 과도한 메모리 할당 또는 메모리 읽기를 유발할 수 있는 취약점(CVE-2026-42946) 등 추가 보안 결함 3종도 함께 패치됐다. SSL 및 Charset 모듈에서도 메모리 정보 노출과 프로세스 재시작을 유발할 수 있는 취약점이 발견돼 관리자의 주의가 요구된다.

즉각 패치가 어려운 경우에는 리라이트 설정 내 명명되지 않은 캡처(unnamed capture)를 명명된 캡처(named capture)로 변경하는 등 임시 대응이 권고된다.

각국 보안 당국은 NGINX 기반 웹 서버와 인프라 전반에 대한 버전 점검과 최신 보안 업데이트 적용을 강력히 권고하고 있다.

[김형근 기자(editor@boannews.com)]

우리나라 정보보호 수준 향상을 위해 이재명 정부에게 가장 바라는 점은 무엇인가요?
	ISMS 등 보안 인증 제도 실효성 개선
	AI 보안, 양자보안 등 보안 기술 연구개발 지원 확대
	중소 기업 보안 지원 확대
	기업 보안 예산 비율 의무화
	국가 정보보호 거버넌스 체계 정비
	기타(댓글로)