Contents
see List이번 영상은 PostgreSQL과 MariaDB에서 공개된 오래된 데이터베이스 취약점 이슈를 짧게 정리한 콘텐츠입니다. Wiz의 ZeroDay.Cloud 해킹 대회에서 AI 보안 분석 도구가 PostgreSQL pgcrypto 확장 기능과 MariaDB JSON_SCHEMA_VALID() 함수 쪽 취약점을 찾아냈고, 일부는 원격 코드 실행 가능성까지 언급됐습니다.
PostgreSQL 쪽 핵심은 pgcrypto에 숨어 있던 heap buffer overflow와 검증 누락 문제입니다. CVE-2026-2005는 특수하게 조작된 입력으로 메모리 경계 밖 쓰기를 유발할 수 있는 취약점으로 설명됐고, CVE-2026-2006 역시 검증 로직 문제로 임의 코드 실행 위험이 거론됐습니다. 특히 pgcrypto 관련 코드는 2005년부터 존재해 온 것으로 알려져, 오래된 오픈소스 코드도 계속 재점검이 필요하다는 점을 보여줍니다.
MariaDB에서는 JSON_SCHEMA_VALID() 함수에서 CVE-2026-32710이 공개됐습니다. 인증된 사용자가 특정 SQL 호출로 서버 크래시를 유발할 수 있고, 조건이 맞으면 원격 코드 실행까지 이어질 수 있다는 분석이 나왔습니다. NIST 기준 CVSS 9.9라는 높은 점수가 붙은 만큼 운영 환경에서는 단순한 버그가 아니라 보안 업데이트 우선순위로 봐야 합니다.
이번 이슈가 더 크게 보이는 이유는 사용 규모입니다. Wiz 분석에 따르면 클라우드 환경 다수가 PostgreSQL을 사용하고, 일부는 인터넷에 직접 노출된 형태였습니다. 데이터베이스는 단순 저장소가 아니라 서비스의 핵심 권한과 데이터를 품고 있는 금고에 가깝습니다. RCE 취약점이 실제 운영 서버에서 악용되면 데이터 유출, 서비스 중단, 내부망 확산 위험으로 이어질 수 있습니다.
다행히 PostgreSQL과 MariaDB 모두 관련 패치를 공개했습니다. 운영자는 사용 중인 버전을 확인하고, pgcrypto 확장 사용 여부, 외부 노출 상태, DB 계정 권한, 의심스러운 PGP·JSON 관련 호출 로그를 함께 점검하는 것이 좋습니다. AI가 공격 도구로만 쓰이는 것이 아니라 오래된 취약점을 찾는 방어 도구로도 빠르게 쓰이기 시작했다는 점도 이번 사건의 중요한 포인트입니다.
짧은 영상에서는 핵심 CVE, 위험도, 왜 데이터베이스 운영자에게 중요한지, 그리고 지금 확인해야 할 패치 포인트를 1분 안에 정리했습니다. 전체 흐름은 아래 YouTube Shorts에서 확인할 수 있습니다.