
2025년 10월 초, Redis의 Lua 스크립팅 엔진에서 누적된 치명적 결함인 RediShell RCE 취약점이 공개되었다. Wiz가 “RediShell”로 명명한 CVE-2025-49844는 Lua 샌드박스를 탈출해 호스트 수준의 원격 코드 실행(RCE)을 유도할 수 있는 use-after-free 취약점이다.
Redis 측과 연구자들이 즉시 패치 적용을 권고했으며, 전반적으로 심각도는 ‘치명적(critical)’ 수준에 가깝다.
RediShell RCE 취약점(CVE-2025-49844) 개요

RediShell(CVE-2025-49844)은 Redis의 Lua 인터프리터에서 발생하는 use-after-free형 메모리 손상으로, 특수하게 제작된 Lua 스크립트가 가비지 컬렉터 동작을 조작해 샌드박스 경계를 무력화하고 네이티브 코드 실행을 가능하게 한다. 이 취약 코드는 2012년경 도입된 코드 경로에 기인하여 Lua 스크립팅이 활성화된 많은 Redis 빌드가 영향권에 있다. 특히 인증이 비활성화된 공개 노출 환경에서는 자동 스캐닝만으로도 악용 가능성이 높아 즉각적인 대응이 필요하다.
Criminal IP Asset Search로 RediShell RCE 취약점 분석
Criminal IP Asset Search에서 “product: Redis” 로 검색하면 인터넷에 노출된 Redis 인스턴스를 빠르게 식별할 수 있다.
Criminal IP Search Query: “product: Redis”

2025년 10월 27일 기준, Criminal IP에서 검색된 Redis 인스턴스는 총 59,755건에 달한다. 미국은 총 11,863건으로 가장 많이 발견되었으며, 그 뒤를 이어 중국 6,473건, 프랑스 5,012건 순으로 나타났다.
또한, cve_id 필터를 사용하면 취약점의 영향을 받는 인스턴스만 좁혀서 탐지할 수 있다.
Criminal IP Search Query: “cve_id: CVE-2025-49844”

특히 많은 인스턴스가 Inbound 항목에 대해 Dangerous 또는 Critical 태그를 달고 있다. 이 표기는 해당 Redis 인스턴스가 퍼블릭 경로로 직접 접근 가능함을 뜻하며, 공격자가 자동 스캐닝만으로도 취약 서버를 찾아 악성 Lua 스크립트를 전송해 호스트 수준의 침해를 시도할 수 있음을 의미한다. (참고로 해당 기능은 Criminal IP Starter 플랜 이상부터 사용이 가능하다. )
Criminal IP Element Analysis로 보는 RediShell RCE 취약점 국가별 요소
위 검색 결과에서 우측 하단의 더보기 버튼을 클릭하면 기본 검색 결과 외에도 국가별 Element Analysis 정보가 제공된다.

Criminal IP Element Analysis로 확인한 결과, RediShell RCE 취약점의 영향을 받는 인스턴스가 미국(1,887건), 프랑스(1,324건), 독일(929건) 순으로 이 세 나라만 합쳐도 전체 노출의 약 50% 이상을 차지하고 있다.
이는 특정 지역에 Redis 인프라가 집중되어 있거나, 이들 국가의 퍼블릭 인프라에서 인증 미설정 인스턴스가 상대적으로 많이 발견되었음을 시사한다.
또한, 대한민국은 전체 국가 중 17위로, 총 73건의 노출 인스턴스가 확인되었다.
RediShell RCE 취약점, 특정 IP 주소 추가 분석
Criminal IP의 IP Report 페이지에서는 특정 IP 주소가 어떤 취약점에 영향을 받는지, 악용 이력은 어떤지, 오픈 포트와 IP의 위치, WHOIS 정보 등 상세 내용을 확인할 수 있다.

cve_id: CVE-2025-49844로 검색된 결과 중 한 IP를 클릭하면, 해당 호스트에서 15개의 오픈 포트와 12개의 취약점이 발견되었다.
그중 포트 6379(Redis)의 노출은 RediShell 취약성과 직접 연결되는 우선 점검 대상으로 식별되었다. 동시에 포트 3306(MySQL) 에는 여러 CVE가 매핑되어 있으며, 데이터베이스 노출·취약 상황이 의심되는 상태다.
해당 호스트는 다수 포트·다중 서비스가 동시에 노출된 복합 노출 상태로, 단일 취약점 악용 시 영향 범위가 크게 확장될 위험이 있다.
RediShell RCE 취약점 악용 시나리오
공격자가 RediShell을 악용해 시스템 전체를 장악하는 전형적 흐름은 다음과 같다.
- 초기 침투
공격자는 특수 제작한 악성 Lua 스크립트를 Redis에 전송해 use-after-free 취약점을 악용한다. - 샌드박스 탈출
악성 스크립트가 Lua 샌드박스 경계를 탈출해 임의의 네이티브 코드 실행을 달성한다. - 지속 접근 확보
공격자는 리버스 셸을 설치하거나 백도어를 심어 지속적인 원격 접근을 확보한다. - 시스템 손상
공격자는 호스트 및 서비스에서 자격증명(예: SSH 키, IAM 토큰, 인증서)을 탈취하고, 악성코드나 크립토마이너를 설치하며, Redis 및 호스트에서 민감 데이터를 유출한다. - 측면 이동
탈취한 IAM 토큰 등 자격증명을 이용해 다른 클라우드 서비스나 시스템으로 접근을 확장하고, 권한을 상승시키며 추가 시스템을 침해한다.
이 시나리오는 RediShell 취약점이 단순한 프로세스 붕괴를 넘어 호스트 전체 침해로 이어질 수 있음을 시사한다. 따라서 초기 탐지·차단과 함께 인증·네트워크 분리·지속 모니터링이 중요하다.
RediShell RCE 취약점 대응 권장 사항
- 패치 적용:
Redis 공식 보안 권고에 따라 영향받는 버전 이상으로 즉시 업그레이드한다. 패치가 지연되는 시스템은 임시 완화책을 병행하고, 신속한 패치 일정 수립이 필요하다. - 인증 활성화:
AUTH 또는 ACL을 활성화해 모든 접속에 대해 인증을 요구한다. 기본 이미지로 배포되어 인증이 비활성화된 인스턴스는 우선적으로 점검해야 한다. - 불필요한 명령 차단:
EVAL·EVALSHA 등 Lua 실행 관련 명령은 불필요할 경우 비활성화하거나 권한에서 제거해 공격 표면을 줄인다. 적용 전 해당 명령을 사용하는 정상 서비스 여부를 반드시 검증한다. - 네트워크 차단과 접근 제한:
퍼블릭 인터넷에서 직접 접근 가능한 Redis 포트(기본 6379)는 방화벽 또는 보안그룹으로 차단하고, Redis는 허가된 애플리케이션 서브넷VPN·Bastion 경로를 통해서만 접근하도록 구성한다. - 지속적 탐지 및 모니터링:
Criminal IP와 같은 위협 인텔리전스 솔루션을 활용해 인터넷 노출 여부와 미패치미인증 인스턴스 상태를 지속적으로 모니터링하고, 이상 징후를 상시 탐지한다.
FAQ
Q1. 우리 환경이 실제로 영향을 받는지, 빠르게 확인하려면 어떻게 해야 하나요?
영향 여부를 확인하기 위해서는 우선 Redis 버전과 설치 위치를 점검하는 것이 중요합니다. 내부망에서는 버전이 8.2.1 이하인지 확인하고, 외부망에서는 Criminal IP와 같은 공격 표면 관리(ASM) 도구를 활용해 product:Redis 또는 cve_id:CVE-2025-49844 쿼리로 노출된 인스턴스를 탐색할 수 있습니다.
특히 포트 6379가 외부에 개방되어 있거나 인증이 설정되지 않은 인스턴스는 우선 점검 대상에 포함하는 것이 좋습니다.
Q2. 패치를 당장 적용하기 어려운 경우, 어떤 완화 조치를 우선해야 하나요?
패치 적용이 지연되는 경우에는 인증 기능(AUTH/ACL) 활성화와 네트워크 접근 제한이 가장 효과적인 방어책입니다. Redis 포트(기본 6379)를 퍼블릭 인터넷에서 차단하고, 내부망 또는 VPN을 통해서만 접근할 수 있도록 구성하는 것이 좋습니다.
또한 Lua 스크립트 실행 명령(EVAL, EVALSHA)을 제한해 공격 표면을 최소화하면, 패치 전이라도 악용 가능성을 크게 줄일 수 있습니다.
Q3. 침해가 의심되면 어떻게 대응해야 하나요?
침해가 의심되는 경우에는 해당 호스트를 즉시 네트워크에서 분리하고, 프로세스·로그·네트워크 트래픽을 포함한 포렌식 자료를 확보하는 것이 우선입니다. 이후 SSH 키나 API 토큰 등 자격증명을 회수·교체하고, 클린 이미지로 재배포하거나 최신 패치를 적용해 복구하는 것이 좋습니다.
필요할 경우 SIEM·EDR 로그와 Criminal IP 같은 위협 인텔리전스 솔루션을 연계해 추가 확산 여부를 점검하시는 것이 권장됩니다.
결론
RediShell RCE 취약점 (CVE-2025-49844)은 단순한 프로세스 충돌을 넘는 치명적 취약점으로, 인증 미설정·퍼블릭 노출 환경에서는 즉각적인 RCE 악용 위험이 매우 높다. 대응 우선순위는 명확하다: 패치 적용을 최우선으로 진행하고, 패치 전후로 인증 활성화(AUTH/ACL) → 네트워크 격리(퍼블릭 차단) 및 EVAL 제한 → 지속적 탐지·모니터링을 병행해야 한다. 특히 한 호스트에서 Redis뿐 아니라 DB·FTP·웹 서비스가 함께 노출된 ‘복합 노출’ 상황에서는 각 서비스의 취약점까지 동시 점검·복구하는 통합적 대응이 필요하다.
신속한 패치와 완화, 그리고 Criminal IP와 같은 위협 인텔리전스를 활용한 상시 모니터링을 결합할 때만이 RediShell로 인한 대규모 피해를 예방할 수 있다.
관련해서 오라클 EBS 취약점 CVE-2025-61884 : 인증 없이 구성 데이터에 닿는 Runtime UI 취약점 글을 참고할 수 있다.
이 리포트는 사이버위협인텔리전스 검색엔진 Criminal IP의 데이터를 바탕으로 작성되었습니다. 지금 바로 Criminal IP 무료계정을생성하면 리포트에 인용된 검색 결과를 직접 확인하거나, 더 방대한 위협 인텔리전스를 자유롭게 검색할 수 있습니다.
데이터 출처 : Criminal IP (https://www.criminalip.io/ko), HELP NET SECURITY (https://www.helpnetsecurity.com/2025/10/07/redis-patches-critical-redishell-rce-vulnerability-update-asap-cve-2025-49844/)
관련 글 : https://www.criminalip.io/ko/knowledge-hub/blog/30363
