--- title: "엔진엑스에 18년 묵은 치명 취약점, 인증 없이 원격 코드 실행 가능" published: 2026-05-16T00:05:03.640Z canonical: https://jeff.news/article/2751 --- # 엔진엑스에 18년 묵은 치명 취약점, 인증 없이 원격 코드 실행 가능 엔진엑스 플러스와 엔진엑스 오픈소스에서 18년 동안 발견되지 않았던 힙 버퍼 오버플로우 취약점이 공개됐다. 특정 리라이트 설정과 정규식 캡처가 결합될 때 조작된 HTTP 요청만으로 원격 코드 실행이나 서비스 거부 공격이 가능해, 최신 버전 업데이트가 권고된다. - 엔진엑스에서 18년 동안 숨어 있던 치명적 취약점이 공개됨 - 이름은 ‘엔진엑스 리프트’, 식별자는 CVE-2026-42945임 - 엔진엑스 플러스와 엔진엑스 오픈소스에 영향을 주는 것으로 소개됨 - 취약점의 정체는 리라이트 모듈의 힙 버퍼 오버플로우임 - 문제가 되는 모듈은 ngx_http_rewrite_module임 - 특정 리라이트 설정과 정규 표현식 캡처 기능이 결합될 때 발생한다고 F5와 최초 발견 연구팀 뎁스퍼스트가 설명함 > [!WARNING] > 공격자는 특수하게 조작한 HTTP 요청만으로 별도 인증 없이 원격 코드 실행이나 서비스 거부 공격을 시도할 수 있음. 엔진엑스가 앞단 프록시나 웹 서버로 깔린 곳이 많아서 영향 범위를 가볍게 보면 안 됨. - 최악의 경우 서버 장악 가능성도 언급됨 - 주소 공간 레이아웃 임의화가 비활성화된 환경에서는 공격자가 서버 권한을 탈취해 시스템 제어권을 잡을 가능성이 제기됨 - 원격 코드 실행과 권한 탈취가 연결되면 단순 장애 대응이 아니라 침해 사고 대응 영역으로 넘어감 - 패치는 이미 나왔고, 버전 확인이 급함 - 엔진엑스 오픈소스 1.30.1 이상에서 수정됨 - 엔진엑스 플러스는 R32 P6 이상 버전에서 수정됨 - 취약점은 4월 21일 책임 있는 공개 절차를 거쳐 공개됐다고 함 - 같이 패치된 취약점도 3종 더 있음 - SCGI 및 uwsgi 모듈에서는 과도한 메모리 할당 또는 메모리 읽기를 유발할 수 있는 취약점이 패치됨 - SSL 및 Charset 모듈에서도 메모리 정보 노출과 프로세스 재시작을 유발할 수 있는 취약점이 발견됨 - 즉, 이번 업데이트는 리라이트 모듈 하나만 보고 넘길 건이 아님 > [!TIP] > 즉시 패치가 어렵다면 리라이트 설정에서 명명되지 않은 캡처를 명명된 캡처로 바꾸는 임시 대응이 권고됨. 그래도 최종 대응은 최신 보안 버전 업데이트임. - 실무적으로는 엔진엑스 버전과 리라이트 설정을 같이 봐야 함 - 단순히 “엔진엑스 쓰나요?”가 아니라, 리라이트 규칙과 정규식 캡처를 어디서 쓰는지 점검해야 함 - 각국 보안 당국도 엔진엑스 기반 웹 서버와 인프라 전반에 대한 버전 점검과 최신 업데이트 적용을 권고하고 있음 --- ## 기술 맥락 - 이번 취약점이 까다로운 이유는 엔진엑스가 너무 흔하게 쓰이기 때문이에요. 웹 서버, 리버스 프록시, 로드밸런서 앞단에 들어가는 경우가 많아서 한 번 문제가 생기면 서비스 입구 전체가 영향권에 들어가거든요. - 리라이트 모듈은 요청 주소를 바꾸거나 조건별 라우팅을 할 때 자주 쓰여요. 여기에 정규식 캡처가 들어가면 설정은 유연해지지만, 이번처럼 메모리 처리 버그와 결합될 때 공격 표면이 될 수 있어요. - 힙 버퍼 오버플로우가 위험한 건 단순 크래시로 끝나지 않을 수 있어서예요. 공격자가 메모리 상태를 유도하고 보호 기법이 약한 환경을 만나면 원격 코드 실행까지 노릴 수 있거든요. - 그래서 대응은 두 단계로 가야 해요. 먼저 엔진엑스 오픈소스 1.30.1이나 엔진엑스 플러스 R32 P6 이상으로 올리고, 바로 올릴 수 없는 환경은 리라이트 설정에서 명명되지 않은 캡처를 쓰는지 확인해야 해요. - 특히 레거시 인프라는 주소 공간 레이아웃 임의화 같은 보호 설정이 꺼져 있을 수 있어요. 버전 패치만 체크하지 말고 런타임 보호 설정까지 같이 보는 게 맞아요. ## 핵심 포인트 - 취약점 이름은 엔진엑스 리프트이며 식별자는 CVE-2026-42945다 - 리라이트 모듈의 힙 버퍼 오버플로우로, 인증 없는 원격 코드 실행과 서비스 거부 가능성이 제기됐다 - 주소 공간 레이아웃 임의화가 꺼진 환경에서는 서버 권한 탈취 가능성도 언급됐다 - 엔진엑스 오픈소스 1.30.1과 엔진엑스 플러스 R32 P6 이상에서 수정됐다 - 즉시 패치가 어렵다면 명명되지 않은 캡처를 명명된 캡처로 바꾸는 임시 대응이 권고된다 ## 인사이트 웹 앞단에 깔린 엔진엑스 취약점은 영향 반경이 넓어서 ‘우리 서비스는 별일 없겠지’로 넘기기 어렵다. 특히 리라이트 설정과 정규식 캡처를 쓰는 조직은 버전 점검과 설정 점검을 같이 해야 한다.