Contents
see List이번 영상은 NGINX Rift로 알려진 CVE-2026-42945 취약점을 짧게 정리한 보안 뉴스입니다. NGINX는 기업 홈페이지, API 서버, 프록시, 로드밸런서, 쿠버네티스 인그레스 등에서 매우 넓게 사용되는 웹서버이기 때문에 단순한 패키지 업데이트 소식으로 넘기기 어렵습니다.
공개된 설명에 따르면 이 문제는 ngx_http_rewrite_module의 heap buffer overflow와 관련됩니다. 조건이 맞는 rewrite 설정에서 외부 HTTP 요청만으로 worker 프로세스가 비정상 종료되거나, 더 심한 경우 원격 코드 실행으로 이어질 가능성이 언급됐습니다. 관리 페이지나 내부 콘솔이 아니라 일반 요청 처리 경로가 공격 표면이 될 수 있다는 점이 특히 중요합니다.
영향 범위도 넓습니다. NGINX Open Source 0.6.27부터 1.30.0, NGINX Plus R32부터 R36, 일부 Ingress Controller와 WAF 계열 제품까지 점검 대상에 포함됩니다. 공식 변경 로그에는 2026년 5월 13일 공개된 1.30.1과 1.31.0 버전에서 관련 보안 수정이 반영된 것으로 안내됐습니다.
운영자가 먼저 볼 부분은 rewrite 설정입니다. $1, $2 같은 unnamed capture를 사용하고, 치환 문자열에 물음표가 들어가며, rewrite, if, set 지시어가 이어지는 패턴이 위험 조건으로 설명됐습니다. 즉 “우리 서버는 그냥 정적 페이지라 괜찮다”가 아니라, 실제 NGINX 설정 파일에서 해당 패턴이 있는지 grep으로 확인해야 합니다.
가장 좋은 대응은 가능한 빨리 패치 버전으로 올리고 NGINX worker를 재시작하는 것입니다. 즉시 업그레이드가 어렵다면 named capture로 설정을 바꾸는 임시 완화책을 검토할 수 있습니다. 다만 임시 조치만 믿기보다 운영 중인 배포판 패키지, 컨테이너 이미지, 인그레스 컨트롤러 버전을 함께 확인해야 합니다. 변경 전후 설정 백업과 단계적 배포 기록도 남기는 것이 좋습니다.
이번 사례는 웹시스템 운영에서 보안이 개발 완료 후의 부가 작업이 아니라는 점을 다시 보여줍니다. 배포 자동화, 서버 설정 문서화, 취약점 공지 모니터링, 패치 절차, 롤백 계획이 함께 있어야 장애와 보안 사고를 줄일 수 있습니다. 소프트모아는 홈페이지, ERP, 업무시스템, 서버·클라우드 운영을 설계할 때 이런 운영 보안 요소까지 함께 고려하는 구축 방식을 권장합니다.