정용환 기자
Node.js용으로 개발된 IP 주소 관리 패키지 node-ip 깃허브 리포지토리가 일시적으로 아카이브 상태가 됐다. node-ip 개발자인 페도르 인두트니(Fedor Indutny)는 아카이브 이유에 대해 과장된 취약점 보고로 인해 문의가 폭주했기 때문이라고 설명했다.
node-ip는 Node.js용 IP 주소 관리 패키지다. node-ip 패키지 정보를 확인하면 일주일에 170만 회 이상 다운로드되는 인기 패키지라는 걸 알 수 있다.
이런 node-ip에 대해 지난 2월 9일 사설 IP 주소를 공용 IP 주소로 취급할 수 있다는 취약점이 존재한다고 보고됐다. 보고서에 따르면 해당 취약점을 악용하면 SSRF 공격이 가능해진다고 설명됐으며 미국 국립표준기술연구소(NIST)가 운영하는 취약점 데이터베이스인 NVD(National Vulnerability Database)에 9.8점 긴급 취약점으로 등록됐다. CVE는 CVE-2023-42282다.
해당 취약점은 NVD에 등록된 뒤 깃허브 취약점 정보 요약 페이지(GitHub Advisory Database)에도 게시됐다.
취약점 보고 후 개발자는 2월 19일 문제를 수정했다. 하지만 취약점 수정 뒤에도 npm 취약점 보고 도구(npm-audit)를 실행한 사용자로부터 node-ip에 취약점이 있다는 보고가 계속해서 대량 접수됐다고 한다. 이로 인해 개발자는 6월 26일 node-ip 깃허브 리포지토리를 아카이브했다.
개발자는 취약점 존재 자체는 인정하면서도 보고서에서는 취약점을 악용하면 SSRF 공격이 가능하다고 되어 있지만 그런 보안 위험이 있다고는 생각되지 않는다고 주장하며 아카이브와 같은 날 취약점 위험 재검토를 요청했다.
그 결과 깃허브(GitHub Advisory Database)에서는 취약점 수준이 낮음(Low)으로 낮춰졌다. 또 개발자는 비공개 취약점 보고를 구성해 취약점 정보가 널리 공개되기 전에 비공개 통지를 받을 수 있다는 조언도 받았다.
개발자는 깃허브 상에서의 보안 위험 수정을 받아들여 node-ip 아카이브를 해제했다. 다만 NVD 상에는 여전히 긴급한 위험을 동반한 취약점으로 남아 있다.
보도에선 개발자가 겪은 사례를 바탕으로 취약점 보고 대부분은 책임감 있는 보안 연구자에 의해 이뤄지지만 때로는 중대한 취약점을 발견했다는 경력을 만들기 위해 과장되게 보고하는 연구자도 존재한다고 지적했다. 한편 과거에는 데이터 전송 도구인 cURL에서도 위험이 작은 취약점인데도 중대한 취약점으로 보고되는 사건이 발생해 개발자가 불만을 표명한 바 있다. 관련 내용은 이곳에서 확인할 수 있다.
이원영 기자
이석원 기자
