Redis 보안 취약점 발견...원격 코드 실행 가능성 제기

Redis에서 심각한 보안 취약점이 발견돼 즉각적인 패치가 필요한 것으로 나타났다.

[한국정보기술신문] 오픈소스 인메모리 데이터베이스 Redis에서 원격 코드 실행이 가능한 치명적인 보안 취약점이 발견됐다. 이번 취약점은 CVE-2025-49844로 분류되며, CVSS 점수 10.0 만점을 받은 최고 수준의 위험도를 갖고 있다.

Redis는 지난 10월 3일 공식 블로그를 통해 해당 취약점에 대한 보안 권고를 발표했다. 이 취약점은 약 13년 동안 Redis 소스코드에 존재해 왔으며, Lua 스크립트를 통해 가비지 컬렉터를 조작할 수 있는 use-after-free 메모리 손상 버그로 확인됐다.

보안 업체 Sysdig는 이 취약점을 RediShell이라고 명명했다. 인증된 사용자가 특수하게 제작된 Lua 스크립트를 사용해 가비지 컬렉터를 조작하면, use-after-free 상태를 유발하고 잠재적으로 원격 코드 실행으로 이어질 수 있다.

13년간 잠복한 취약점

이번 취약점은 보안 연구업체 Wiz의 연구원들이 발견해 지난 5월 베를린에서 열린 Pwn2Own 행사를 통해 보고됐다. 발견 당시부터 Redis의 Lua 스크립트 하위 시스템에서 가비지 컬렉션 중 객체 생존성 검증이 불충분하다는 점이 지적됐다.

공격자는 악의적인 Lua 스크립트를 통해 여전히 활성 객체가 참조하고 있는 메모리를 해제시킬 수 있으며, 이를 통해 Lua 샌드박스를 벗어나 Redis 호스트 시스템에서 네이티브 코드를 실행할 수 있다. Redis 호스트를 장악한 공격자는 자격증명 탈취, 악성코드 배포, Redis의 민감한 데이터 추출, 다른 시스템으로의 측면 이동 등을 수행할 수 있는 것으로 분석됐다.

광범위한 영향 범위

이번 취약점은 Lua 스크립팅을 지원하는 모든 Redis 버전에 영향을 미친다. Redis는 기본적으로 인증 기능이 활성화되지 않은 상태로 제공되며, 많은 개발자가 배포 환경에서 인증을 활성화하지 않는 것으로 알려져 있어 피해 규모가 클 것으로 우려된다.

Redis 측은 패치된 버전을 공개했다. OSS 및 CE, Stack 버전의 경우 8.2.2, 8.0.4, 7.4.6, 7.2.11, 6.2.20 이상으로 업그레이드해야 한다. Enterprise 버전인 Redis Software는 7.22.2-12, 7.8.6-207, 7.4.6-272, 7.2.4-138, 6.4.2-131 이상으로 업데이트가 필요하다.

Redis Cloud 고객의 경우 자동으로 패치가 적용돼 별도 조치가 필요하지 않다.

즉각적인 대응 필요

현재까지 공개된 익스플로잇 코드는 없지만, 개념 증명 도구들이 성공적인 실행을 향해 진전을 보이고 있는 것으로 전해졌다. Redis는 이번 취약점의 악용 사례가 Redis Cloud나 고객 환경에서 보고된 바 없다고 밝혔다.

보안 전문가들은 관리자들에게 즉시 업그레이드하거나 ACL을 사용해 EVAL 및 EVALSHA 명령 제한을 통한 임시 완화 조치를 적용할 것을 권고하고 있다. 또한 취약한 인스턴스가 인터넷에 노출되지 않도록 하고, 방화벽과 네트워크 정책을 사용해 네트워크 접근을 제한하며, 모든 Redis 인스턴스 접근에 대해 강력한 인증을 적용해야 한다고 강조했다.

애플리케이션 기능에 필요하지 않다면 Lua 스크립팅을 비활성화하고, Redis 인스턴스를 공용 인터넷에 완전히 노출하지 않는 것이 권장된다.

한국정보기술신문 정보보안분과 오상진 기자 news@kitpa.org