--- title: "기티 보안 결함, 비공개 컨테이너 이미지가 인증 없이 털릴 수 있었다" published: 2026-05-28T02:05:02.729Z canonical: https://jeff.news/article/3327 --- # 기티 보안 결함, 비공개 컨테이너 이미지가 인증 없이 털릴 수 있었다 오픈소스 소스코드 관리 플랫폼 기티에서 사설 컨테이너 이미지를 인증 없이 내려받을 수 있는 취약점이 발견됐어. 영향을 받는 건 1.26.2 미만 버전 전체이고, 전 세계 30개국 3만 개 이상 배포 환경이 위험권으로 분석됐어. - 오픈소스 소스코드 관리 플랫폼 기티(Gitea)에서 꽤 아픈 보안 결함이 나옴 - 취약점 번호는 CVE-2026-27771 - 인증되지 않은 공격자가 사설 컨테이너 이미지를 무단으로 내려받을 수 있는 문제임 - 쉽게 말하면 “비공개로 잠가둔 컨테이너 레지스트리인데, 로그인 없이 이미지가 빠져나갈 수 있었다”는 얘기임 - 영향 범위가 작지 않음 - 기티 1.26.2 미만 모든 버전이 영향 대상임 - 보안 기업 노스코프는 이 결함이 약 4년 동안 발견되지 않은 채 남아 있었다고 분석함 - 전 세계 30개국, 3만 개 이상의 배포 환경이 위험에 노출된 것으로 추정됨 > [!WARNING] > 사설 컨테이너 이미지는 그냥 파일 몇 개가 아니라 내부 서비스 구성, 빌드 산출물, 의존성 정보가 같이 묻어 나올 수 있음. 기티나 포지조로 레지스트리를 운영 중이면 버전 확인부터 바로 해야 함. - 특히 제조·의료·항공우주·유통 같은 인프라성 업종이 언급됨 - 주요 위험 국가로는 중국, 미국, 독일, 프랑스, 영국 등이 꼽힘 - 기사에서는 국가 핵심 인프라 분야까지 파장이 갈 수 있다고 봄 - 컨테이너 이미지는 운영 환경과 가까운 산출물이라, 유출되면 단순 코드 노출보다 공격자가 얻는 힌트가 많을 수 있음 - 문제의 핵심은 기티 컨테이너 레지스트리의 비공개 설정이 제대로 작동하지 않았다는 점임 - 사설로 설정된 컨테이너 이미지가 인증 없이 다운로드될 수 있었음 - 별도 자격 증명이 없어도 외부 침입자가 비공개 저장소에 접근할 수 있는 형태로 설명됨 - 접근 제어가 깨진 취약점이라, “설정 실수”가 아니라 제품 버전 자체의 위험으로 봐야 함 - 기티 기반 파생 플랫폼 포지조(Forgejo)도 안전지대가 아님 - 같은 취약점이 포지조에서도 확인됐다고 나옴 - Gitea만 검색해서 끝내면 안 되고, 내부에서 Forgejo를 쓰는 팀도 같이 점검해야 함 - 셀프호스팅 Git 플랫폼은 조직마다 이름을 바꿔 운영하는 경우도 많아서 자산 목록 확인이 중요함 - 권장 조치는 단순함 — 최신 1.26.2 버전으로 즉시 업데이트 - 업데이트가 어렵다면 설정 파일에서 “로그인 필수 보기” 기능을 활성화하는 우회책이 제시됨 - 다만 이 조치는 공개 컨테이너 서비스까지 모두 차단될 수 있음 - 공개 이미지 배포를 같이 운영하는 팀이면 패치와 우회 설정의 영향 범위를 먼저 확인해야 함 --- ## 기술 맥락 - 이번 이슈가 민감한 이유는 컨테이너 레지스트리가 배포 파이프라인 한가운데 있기 때문이에요. 소스코드 저장소보다 더 운영 환경에 가까운 산출물이 쌓이고, 이미지 안에는 앱 구성과 내부 의존성 단서가 들어갈 수 있거든요. - 기티의 비공개 설정이 깨졌다는 건 인증 흐름이나 권한 체크가 레지스트리 다운로드 경로에서 제대로 적용되지 않았다는 뜻으로 볼 수 있어요. 그래서 사용자 계정이 털린 사건이 아니라, 제품 버전 자체를 패치해야 하는 취약점으로 다뤄야 해요. - 1.26.2 업데이트가 최우선인 이유는 우회 설정이 기능 영향을 만들 수 있기 때문이에요. “로그인 필수 보기”를 켜면 공개 컨테이너 서비스까지 막힐 수 있어서, 외부 배포용 공개 이미지가 있는 조직은 장애로 이어질 수 있어요. - Forgejo까지 같이 확인해야 하는 것도 이 계열 플랫폼의 특징 때문이에요. 같은 코드 기반에서 갈라진 프로젝트는 취약한 로직을 공유할 수 있어서, 이름이 다르다고 별개 제품처럼 취급하면 패치 누락이 생겨요. ## 핵심 포인트 - CVE-2026-27771은 인증 없는 공격자가 비공개 저장소의 컨테이너 이미지를 탈취할 수 있는 취약점 - 기티 1.26.2 미만 모든 버전이 영향받으며 약 4년 동안 발견되지 않은 채 남아 있었음 - 전 세계 30개국 3만 개 이상 배포 환경이 위험에 노출된 것으로 분석됨 - 파생 플랫폼 포지조에서도 같은 취약점이 확인됨 - 권장 조치는 1.26.2 업데이트이며, 어렵다면 로그인 필수 보기 설정을 켜야 함 ## 인사이트 사설 컨테이너 레지스트리는 내부 배포물, 빌드 산출물, 서비스 구성 단서가 모이는 곳이라 단순 소스코드 유출보다 더 골치 아플 수 있어. 셀프호스팅 기티나 포지조를 쓰는 팀이면 버전 확인을 미루면 안 되는 건임.