
2026๋ 2์ ์ด, ๋ฏธ๊ตญ ์ฌ์ด๋ฒ๋ณด์ ๋ฐ ์ธํ๋ผ ๋ณด์๊ตญ(CISA)์ย GitLab Community ๋ฐ Enterprise Edition์ ์ํฅ์ ๋ฏธ์น๋ ์๋ฒ ์ฌ์ด๋ ์์ฒญ ์์กฐ(Server-Side Request Forgery, SSRF) ์ทจ์ฝ์ CVE-2021-39935๋ฅผย Known Exploited Vulnerabilities(KEV)ย ์นดํ๋ก๊ทธ์ ์ถ๊ฐํ๋ค. ํด๋น ์ทจ์ฝ์ ์ ์ด๋ฏธ 2021๋ ์ ํจ์น๋์์ง๋ง,ย ์ธํฐ๋ท์ ๋ ธ์ถ๋ ๋ฏธํจ์น GitLab ์ธ์คํด์ค๋ฅผ ๋์์ผ๋ก ํ ์ค์ ์ ์ฉ์ด ๋ค์ ํ์ธ๋๋ฉฐ ๊ธด๊ธ ๋์ ๋์์ผ๋ก ๋ถ๋ฅ๋์๋ค.
CISA๋ ์ฐ๋ฐฉ ๊ธฐ๊ด์ ๋ํด 2026๋ 2์ 24์ผ๊น์ง ์กฐ์น๋ฅผ ์๋ฃํ ๊ฒ์ ์๊ตฌํ์ผ๋ฉฐ(BOD 22-01), ๋ฏผ๊ฐ ์กฐ์ง ์ญ์ ๋์ผํ ์์ค์ ๋์์ ์ฐ์ ์ํ ๊ฒ์ ๊ฐ๋ ฅํ ๊ถ๊ณ ํ๊ณ ์๋ค. ์ด๋ฒ ๊ธ์์๋ CVE-2021-39935๋ฅผ ์ค์ฌ์ผ๋ก, ์ธ๋ถ์ ๋ ธ์ถ๋ GitLab ์ธ์คํด์ค๊ฐ ์ด๋ป๊ฒ ์ค์ ๊ณต๊ฒฉ์ผ๋ก ์ด์ด์ง ์ ์๋์ง์ ์ด๋ฅผ ์๋ณยท๊ด๋ฆฌํ๊ธฐ ์ํ ๊ณต๊ฒฉ ํ๋ฉด ๊ด์ ์ ๋์ ์ ๋ต์ ์ดํด๋ณธ๋ค.
CVE-2021-39935 ์ทจ์ฝ์ ๊ฐ์
- ์ทจ์ฝ์ ID: CVE-2021-39935
- ์ํฅ ์ ํ: GitLab Community Edition(CE), Enterprise Edition(EE)
- ์ ํ: ์๋ฒ ์ฌ์ด๋ ์์ฒญ ์์กฐ(SSRF), CWE-918
- ๊ณต๊ฒฉ ์กฐ๊ฑด: ์ธ์ฆ ์์ด ์๊ฒฉ ์ ์ฉ ๊ฐ๋ฅ(Unauthenticated)
- ํต์ฌ ์ํฅ: GitLab ์๋ฒ๊ฐ ๊ณต๊ฒฉ์๊ฐ ์ง์ ํ ์์ URL๋ก ์๋ฒ ์ธก ์์ฒญ์ ์ํ โ ๋ด๋ถ ์์ ์ ๊ทผ/์ค์บ/๋ฉํ๋ฐ์ดํฐ ํ์ทจ/2์ฐจ ์ทจ์ฝ์ ์ฐ์
CVE-2021-39935๋ GitLab์ CI Lint API(CI/CD ๊ตฌ์ฑ ๊ฒ์ฆ ๋ฐ ํ์ดํ๋ผ์ธ ์๋ฎฌ๋ ์ด์ ์ ์ฌ์ฉ)์์ ์ฌ์ฉ์ ์ ๋ ฅ URL ๊ฒ์ฆ์ด ๋ถ์ ์ ํ๊ฒ ์ฒ๋ฆฌ๋๋ ๋ฌธ์ ๋ก ์๋ ค์ ธ ์๋ค. ๊ณต๊ฒฉ์๋ ์ ์ฑ API ์์ฒญ์ ํตํด GitLab ์๋ฒ๊ฐ ๋ด๋ถ๋ง(์: RFC1918) ๋๋ ์ธ๋ถ ์์์ผ๋ก ์์ฒญ์ ๋ณด๋ด๋๋ก ์ ๋ํ ์ ์๋ค. ํนํ CI/CD ๋ฐ DevOps ํ๋ซํผ์ ์ฝ๋, ํ ํฐ, ๋ฐฐํฌ ํค, ๋ ์ง์คํธ๋ฆฌ ์๊ฒฉ์ฆ๋ช ๋ฑย ๊ณ ๊ฐ์น ๋น๋ฐ์ ๋ณด๊ฐ ์ง์ค๋๋ ์ง์ ์ด๊ธฐ ๋๋ฌธ์, SSRF ํ๋๊ฐ โ๋จ์ผ ์๋น์ค ์นจํดโ๊ฐ ์๋๋ผย ์กฐ์ง ์ ์ฒด๋ก ํ์ฐ๋๋ ์ด๊ธฐ ์นจํฌ ๋ฒกํฐ๋ก ์ ํ๋๊ธฐ ์ฝ๋ค.
CISA๋ ์ด ์ทจ์ฝ์ ์ด ์ค์ ์ ์ฉ ์ค์์ ๊ทผ๊ฑฐ๋ก KEV์ ์ถ๊ฐํ๋ค. ์ฆ, ๊ณต๊ฒฉ์๋ ์ด๋ฏธ ์๋ํ๋ ์ค์บ๋/์ต์คํ๋ก์ ์ฒด์ธ์ ํ์ฉํด ๋ฏธํจ์น GitLab ์ธ์คํด์ค๋ฅผ ์ ๊ทน์ ์ผ๋ก ์ฐพ๊ณ ์์ผ๋ฉฐ, ์ธ๋ถ ๋ ธ์ถ๋ CI/CD ํ๋ซํผ์ ํตํด ๋ด๋ถ ํ๊ฒฝ์ผ๋ก ํผ๋ฒํ๋ ค๋ ์๋๊ฐ ์ฌ์ ํ๋ ๊ฒ์ผ๋ก ํด์๋๋ค.
๊ณต๊ฒฉ ๋ฉ์ปค๋์ฆ ๋ฐ ์๋๋ฆฌ์ค
๊ณต๊ฒฉ ๋ฉ์ปค๋์ฆ

SSRF๋ ์ฌ์ฉ์ ์ ๋ ฅ โ ์๋ฒ๊ฐ ๋์ ์์ฒญ โ ์๋ฒ๊ฐ ๋ณผ ์ ์๋ ๊ณณ์ ๊ณต๊ฒฉ์๊ฐ ๊ฐ์ ์ ๊ทผ ์ด๋ผ๋ ๋จ์ํ ๊ณต๊ฒฉ ๋งค์ปค๋์ฆ์ ๊ฐ์ง๊ณ ์๋ค. ํต์ฌ์ CI Lint API๊ฐ CI ๊ตฌ์ฑ ๊ฒ์ฆ ๊ณผ์ ์์ย ์ฌ์ฉ์ ์ ๋ ฅ URL์ ์ถฉ๋ถํ ๊ฒ์ฆํ์ง ๋ชปํ๊ณ , GitLab ์๋ฒ๊ฐ ํด๋น URL๋ก ์์ฒญ์ ์ํํ ์ ์๋ ์ฌ์ง๋ฅผ ๋ง๋ ๋ค๋ ์ ์ด๋ค. ์ธ์ฆ์ด ์๋ ์ธ๋ถ ๊ณต๊ฒฉ์๋ผ๋ ์์ฒญ์ ๊ตฌ์ฑํด CI Lint API๋ฅผ ํธ์ถํ ์ ์๋ ์กฐ๊ฑด์ด ๋ง๋ค์ด์ง๋ฉด, ์๋ฒ๋ ๊ณต๊ฒฉ์์ ์ง์์ ๋ฐ๋ผ ๋ด๋ถ/์ธ๋ถ ์์์ผ๋ก ์ฐ๊ฒฐ์ ์๋ํ ์ ์๋ค.
์์ ๊ณต๊ฒฉ ์๋๋ฆฌ์ค

- ์ธ๋ถ ๋
ธ์ถ GitLab ์๋ณ
๊ณต๊ฒฉ์๋ GitLab ๋ฆฌ์์ค ํจํด์ ๊ธฐ๋ฐ์ผ๋ก ์ธํฐ๋ท ์ค์บ๋์ ์ํํ์ฌ ์ธ๋ถ ๋ ธ์ถ ์ธ์คํด์ค๋ฅผ ์ฐพ๋๋ค. - CI Lint API๋ฅผ ํตํ SSRF ์ํ
์กฐ์๋ API ์์ฒญ์ผ๋ก GitLab ์๋ฒ๊ฐ ๊ณต๊ฒฉ์ ์ง์ URL๋ก ์์ฒญ์ ์ํํ๋๋ก ์ ๋ํ๋ค. - ๋ด๋ถ ์์ ์ ๊ทผ ๋ฐ ์ค์บ
๋ด๋ถ IP ์ฃผ์/ํฌํธ๋ก์ ์ฐ๊ฒฐ ์ฑ๊ณต ์ฌ๋ถ๋ฅผ ํตํด ๋ด๋ถ ๋คํธ์ํฌ ๋งตํ์ด ๊ฐ๋ฅํด์ง๋ค. - ๋ฏผ๊ฐ์ ๋ณด ์ ์ถ
ํด๋ผ์ฐ๋ ๋ฉํ๋ฐ์ดํฐ ๋๋ ๋ด๋ถ ์๋น์ค ์๋ต์์ ํ ํฐ/ํค/์ค์ ์ด ๋ ธ์ถ๋ ์ ์๋ค. - 2์ฐจ ์ทจ์ฝ์ /์๊ฒฉ์ฆ๋ช
์ผ๋ก ํ์ฐ
์ ์ถ๋ ์ ๋ณด๋ฅผ ๋ฐํ์ผ๋ก ๋ ์ง์คํธ๋ฆฌ, ๋ด๋ถ API ๋ฑ์ผ๋ก์ ์ธก๋ฉด ์ด๋(lateral movement)์ ์๋ํ๋ค.
Criminal IP๋ฅผ ํตํด ๊ด์ธกํ ์ธ๋ถ ๋ ธ์ถ GitLab ์ธ์คํด์ค ํํฉ
์ทจ์ฝ์ ๋์์ GitLab์ ํจ์นํ๋ค๊ณ ๋ฏฟ์ง๋ง ์ค์ ๋ก๋ ํ ์คํธ/PoC/๋ถ์๋ณ ์ธ์คํด์ค๊ฐ ๋จ์ ์๋ ์๊ฐ์ ๊ฐ์ฅ ์ด๋ ค์์ง๋ค. ์ธ์คํด์ค ๋จ์ ์๋ ๊ฒฝ์ฐ ๊ทธ์ค ์ผ๋ถ๊ฐ ์ธ๋ถ์ ๊ทธ๋๋ก ๋ ธ์ถ๋์ด ๊ณต๊ฒฉ์์๊ฒ ๊ฐ์ฅ ์ฌ์ด ํ์ ์ด ๋๊ธฐ ๋๋ฌธ์ด๋ค. ๋ฐ๋ผ์ ์ด๋ฒ ์ด์์ ํต์ฌ์ CVE ์กด์ฌ ์ฌ๋ถ๊ฐ ์๋๋ผ, ์ธ๋ถ์์ ์ ๊ทผ ๊ฐ๋ฅํ GitLab ์ธ์คํด์ค๊ฐ ์ด๋์ ์ผ๋ง๋ ๋จ์ ์๋์ง๋ฅผ ์ ์ ์ ์ผ๋ก ํ์ธํ๋ ๊ฒ์ด๋ค.

Criminal IP ๊ฒ์ ์ฟผ๋ฆฌ:ย title: GitLab
์ด๋ฅผ ํ์ธํ๊ธฐ ์ํด Criminal IP Asset Search์์ ์์ ๊ฐ์ ๊ฒ์ ์ฟผ๋ฆฌ๋ฅผ ์ ์ฉํ์ผ๋ฉฐ,ย 2026๋ 2์ 6์ผ ๊ธฐ์ค์ผ๋ก 71,069๊ฑด์ ์์ฐ์ด ๊ฒ์๋๋ ๊ฒ์ ํ์ธํ๋ค.ย ์ด๋ฌํ ์ธ๋ถ ๋ ธ์ถ GitLab ์ธ์คํด์ค๋ CVE-2021-39935์ ๊ฐ์ ์ธ์ฆ ์ด์ ๋จ๊ณ์์ ์ ์ฉ ๊ฐ๋ฅํ SSRF ์ทจ์ฝ์ ์ด ์กด์ฌํ ๊ฒฝ์ฐ, ์ฆ์ ๊ณต๊ฒฉ ํ๋ฉด์ผ๋ก ์ ํ๋ ์ ์๋ค. ๊ณต๊ฒฉ์๋ GitLab ๋ก๊ทธ์ธ ํ์ด์ง, ์ ์ ๋ฆฌ์์ค, CI ๊ด๋ จ ์๋ํฌ์ธํธ ์๋ต์ ํตํด GitLab ๋ฒ์ ๋ฐ ๊ตฌ์ฑ ์ ๋ณด๋ฅผ ๊ฐ์ ์ ์ผ๋ก ์ถ์ ํ ๋ค, ๋ฏธํจ์น ํ๊ฒฝ์ ์ฐ์ ์ ์ผ๋ก ํ์ ์ผ๋ก ์ผ์ ๊ฐ๋ฅ์ฑ์ด ๋๋ค.

Criminal IP ๊ฒ์ ์ฟผ๋ฆฌ:ย title:โGitLabโ AND port:443 OR port:80
์์์ ๋ฐ๊ฒฌ๋ GitLab ์์ฐ ์ค,ย GitLab ์น ์ธํฐํ์ด์ค๊ฐ ๊ธฐ๋ณธ ์น ํฌํธ(HTTP/HTTPS)๋ฅผ ํตํด ์ธ๋ถ์์ ์ง์ ์ ๊ทผ ๊ฐ๋ฅํ ์ํ๋ก ๋ ธ์ถ๋ ์์ฐ์ ์ถ๊ฐ๋ก ์๋ณํ๋ค. ํด๋น ์กฐ๊ฑด์ ์ ์ฉํ ๊ฒฐ๊ณผ, ์ดย 311๊ฑด์ ๋ ธ์ถ ์์ฐ์ด ํ์ธ๋์์ผ๋ฉฐ, ์ด๋ ์ธ์ฆ ์ฌ๋ถ์ ๊ด๊ณ์์ด ์๋น์ค ์กด์ฌ๊ฐ ์ฆ์ ์๋ณ ๊ฐ๋ฅํ GitLab ์ธ์คํด์ค๊ฐ ์๋น์ ์กด์ฌํจ์ ์๋ฏธํ๋ค.

๋ํ ํน์ GitLab ์ธ์คํด์ค๋ฅผ ๋ถ์ํ ๊ฒฐ๊ณผย 4๊ฐ์ ํฌํธ๊ฐ ๋์์ ์ด๋ ค ์์์ผ๋ฉฐ, 20๊ฐ๊ฐ ๋๋ ์ทจ์ฝ์ ์ด ํจ๊ป ์๋ณ๋์๋ค.ย ์ด๋ ํด๋น ์์ฐ์ด ๋จ์ผ ์๋น์ค ๋ ธ์ถ์ ๊ทธ์น์ง ์๊ณ ,ย ์น ์ธํฐํ์ด์คยท์๊ฒฉ ์ ๊ทผยท๊ด๋ฆฌ ๊ธฐ๋ฅ์ด ๋ณตํฉ์ ์ผ๋ก ์ธ๋ถ์ ๋ ธ์ถ๋ ์ํ์์ ์๋ฏธํ๋ค. ์ด์ ๊ฐ์ด ๋ค์์ ํฌํธ์ ์ทจ์ฝ์ ์ด ํจ๊ป ๋ ธ์ถ๋ ํ๊ฒฝ์์๋, CVE-2021-39935์ ๊ฐ์ ์ธ์ฆ ์ด์ SSRF ์ทจ์ฝ์ ์ดย ๋จ๋ ๊ณต๊ฒฉ ๋ฒกํฐ๊ฐ ์๋ ์ด๊ธฐ ์นจํฌ ์ง์ ์ผ๋ก ์์ฉํ ๊ฐ๋ฅ์ฑ์ด ๋๋ค. ๊ณต๊ฒฉ์๋ SSRF๋ฅผ ํตํด ๋ด๋ถ ์์ฒญ์ ์ ๋ํ ์ดํ, ๋์ผ ์์ฐ์ย ๋ ธ์ถ๋ SSH(22), ์น ์๋น์ค(80/443), ๊ธฐํ ์ทจ์ฝํ ๊ตฌ์ฑ ์์๋ฅผ ์ฐ์์ ์ผ๋ก ํ์ํ๋ฉฐ ๊ณต๊ฒฉ ๋ฒ์๋ฅผ ํ์ฅํ ์ ์๋ค.
Criminal IP ๊ด์ธก ๊ด์ ์์ ์ค์ํ ์ ์,ย ์กฐ์ง ๋ด๋ถ ์์ฐ ๋ชฉ๋ก์ ํฌํจ๋์ง ์์ GitLab ์ธ์คํด์ค๋ผ๋ ์ธ๋ถ์์ ์๋ต์ด ํ์ธ๋๋ ์๊ฐ ๊ณต๊ฒฉ์์๊ฒ๋ ๋์ผํ โ์ธ๋ถ ์์ฐโ์ผ๋ก ์ธ์๋๋ค๋ ์ ์ด๋ค. ํ ์คํธ์ฉ, ์์ ํ๋ก์ ํธ์ฉ, ๊ณผ๊ฑฐ์ ์ฌ์ฉ๋๋ค ๋ฐฉ์น๋ GitLab ์ธ์คํด์ค๋ ์ด๋ฌํ ์ด์ ๋ก ๊ณต๊ฒฉ์ ํนํ ์ทจ์ฝํ ์ํ๊ฐ ๋๋ค.
๋์ ๋ฐ ๊ถ๊ณ ์ฌํญ
CVE-2021-39935๋ ์ด๋ฏธ ํจ์น๊ฐ ์ ๊ณต๋ ์ทจ์ฝ์ ์ด์ง๋ง, CISA KEV ๋ฑ์ฌ๊ฐ ์๋ฏธํ๋ฏย ์ธ๋ถ์ ๋ ธ์ถ๋ ๋ฏธํจ์น GitLab ์ธ์คํด์ค๊ฐ ์ค์ ๊ณต๊ฒฉ์ ํ์ฉ๋๊ณ ์๋ ์ํฉ์ด๋ค. ์ด์ ๋ฐ๋ผ ๋์์ ๋จ์ํ ๋ฒ์ ์ ๋ฐ์ดํธ๋ฅผ ๋์ด, ์ธ๋ถ ๋ ธ์ถ ์ฌ๋ถ๋ฅผ ์ค์ฌ์ผ๋ก ํ ์ ๊ฒ์ด ๋ณํ๋์ด์ผ ํ๋ค.
- ์ฆ๊ฐ์ ์ธ ํจ์น ๋ฐ ๋ฒ์ ์ ๊ฒ
- ํจ์น ๋ฒ์ (14.3.6 / 14.4.4 / 14.5.2 ์ด์)์ผ๋ก ์ฆ์ ์ ๊ทธ๋ ์ด๋
- ํ ์คํธยท๋ฐฑ์ ยท์์ ์ธ์คํด์ค๊น์ง ํฌํจํดย ๋ชจ๋ GitLab ๋ฐฐํฌ ํ๊ฒฝย ์ ๊ฒ
- CI Lint API ๋ฐ ๊ด๋ จ API ์ ๊ทผ ํต์
- ์ธ๋ถ ์ฌ์ฉ์์๊ฒ CI Lint API ์ ๊ทผ์ด ํ์ํ์ง ์ฌ๊ฒํ
- ๋ถํ์ํ API ์๋ํฌ์ธํธ๋ ๋คํธ์ํฌ ๋๋ ์ค์ ์ฐจ์์์ ์ฐจ๋จ
- ๋ก๊ทธ ๊ธฐ๋ฐ ์ด์ ํ์ ์ ๊ฒ
- ๋ด๋ถ IPยท๋น์ ์ URL ๋์์ผ๋ก ํ ์ฐ๊ฒฐ ์๋ ์ฌ๋ถ ์ ๊ฒ
- ย ์คํจํ ์ฐ๊ฒฐ(ํ์์์, ๊ฑฐ๋ถ) ๋ก๊ทธ ๊ธ์ฆ ์ฌ๋ถ ํ์ธ
- ์ธ๋ถ ๋
ธ์ถ ์์ฐ ์ง์ ์ ๊ฒ
- Criminal IP Asset Search์ ๊ฐ์ ์์ฐ ๊ฒ์ ๋๊ตฌ๋ฅผ ํ์ฉํด ์ธ๋ถ์์ ์๋ณ ๊ฐ๋ฅํ GitLab ์ธ์คํด์ค ์์ ์ ๊ฒ
- ์ ๊ท ๋ฐฐํฌยทํ๊ฒฝ ๋ณ๊ฒฝ ์ ์ธ๋ถ ๋ ธ์ถ ์ฌ๋ถ ์๋ ์ ๊ฒ ํ๋ก์ธ์ค ์๋ฆฝ
FAQ
Q1. ์ด๋ฏธ 2021๋ ์ ํจ์น๋ ์ทจ์ฝ์ ์ธ๋ฐ, ์ ์ง๊ธ KEV๋ก ์ฌ๋ผ์๋์?
CVE-2021-39935๋ 2021๋ ์ ํจ์น๊ฐ ์ ๊ณต๋์์ผ๋, ์ดํ์๋ ํด๋น ์ทจ์ฝ์ ์ด ์ ์ฉ๋์ง ์์ GitLab ์ธ์คํด์ค๊ฐ ์ธํฐ๋ท์ ๋ ธ์ถ๋ ์ํ๋ก ๋ค์ ์กด์ฌํด ์์ต๋๋ค. CISA๊ฐ KEV์ ์ถ๊ฐํ ๋ฐฐ๊ฒฝ์ ์ทจ์ฝ์ ์ ์ ๊ท์ฑ ๋๋ฌธ์ด ์๋๋ผ,ย ํ์ฌ ์์ ์๋ ์ค์ ๊ณต๊ฒฉ์ ์ ์ฉ๋๊ณ ์์์ด ํ์ธ๋์๊ธฐ ๋๋ฌธ์ ๋๋ค. ํนํ GitLab์ ํ ์คํธ ํ๊ฒฝ, ์์ ํ๋ก์ ํธ, ๋ถ์๋ณ ์ด์ ์ธ์คํด์ค ๋ฑ์ผ๋ก ๋ถ์ฐ ๋ฐฐํฌ๋๋ ๊ฒฝ์ฐ๊ฐ ๋ง์, ์ผ๋ถ ์ธ์คํด์ค๊ฐ ํจ์น ๋ฐ ๊ด๋ฆฌ ๋์์์ ๋๋ฝ๋๊ธฐ ์ฝ์ต๋๋ค. ์ด๋ฌํ ๋ฏธํจ์นยท์ธ๋ถ ๋ ธ์ถ ํ๊ฒฝ์ ๊ณต๊ฒฉ์์๊ฒ ์์ฌ์ด ํ์ ์ด ๋๋ฉฐ, CISA๋ ์ด๋ฅผ ๊ทผ๊ฑฐ๋ก ๊ธด๊ธ ๋์์ด ํ์ํ ์ทจ์ฝ์ ์ผ๋ก ๋ถ๋ฅํ์ต๋๋ค.
Q2. ํจ์น๋ง ์ ์ฉํ๋ฉด ์ถฉ๋ถํ๊ฐ์?
ํจ์น ์ ์ฉ์ ํ์์ ์ธ ๋์์ด์ง๋ง, ๊ทธ๊ฒ๋ง์ผ๋ก ์ถฉ๋ถํ๋ค๊ณ ๋ณด๊ธฐ๋ ์ด๋ ต์ต๋๋ค. CVE-2021-39935๋ ์ธ์ฆ ์ด์ ๋จ๊ณ์์ ์ ์ฉ ๊ฐ๋ฅํ SSRF ์ทจ์ฝ์ ์ผ๋ก,ย ์ธ๋ถ์ ๋ ธ์ถ๋ ์ํ ์์ฒด๊ฐ ๊ณต๊ฒฉ ๊ฐ๋ฅ์ฑ์ ๊ฒฐ์ ํ๋ ํต์ฌ ์์์ ๋๋ค.
ํจ์น ์ด์ ์ ์ธ๋ถ ๋ ธ์ถ๋ GitLab ์ธ์คํด์ค๊ฐ ์กด์ฌํ์ ๊ฒฝ์ฐ, ๊ณต๊ฒฉ์๋ ์ด๋ฏธ ๋ด๋ถ ๋คํธ์ํฌ ๊ตฌ์กฐ๋ฅผ ํ์ํ๊ฑฐ๋ ๋ฏผ๊ฐ ์ ๋ณด์ ์ ๊ทผํ์ ๊ฐ๋ฅ์ฑ์ด ์์ต๋๋ค. ๋ํ ์กฐ์ง์ด ๋ชจ๋ GitLab ์ธ์คํด์ค๋ฅผ ์ ํํ ํ์ ํ์ง ๋ชปํ๊ณ ์๋ค๋ฉด, ์ผ๋ถ ์์ฐ์ ํจ์น ์ดํ์๋ ์ธ๋ถ์ ๋ ธ์ถ๋ ์ํ๋ก ๋จ์ ์์ ์ ์์ต๋๋ค. ๋ฐ๋ผ์ ํจ์น์ ํจ๊ป ์ธ๋ถ ๋ ธ์ถ ์์ฐ์ ์ง์์ ์ผ๋ก ์๋ณยท๊ฒ์ฆํ๋ ๊ณต๊ฒฉ ํ๋ฉด ๊ด๋ฆฌ(ASM) ๊ด์ ์ ๋์์ด ๋ณํ๋์ด์ผ ํฉ๋๋ค.
๊ฒฐ๋ก
CVE-2021-39935๋ ์ค๋๋ GitLab ์ทจ์ฝ์ ์ด ๋ค์ ๋ถ๊ฐ๋ ์ฌ๋ก๋ฅผ ๋์ดย ์ธ๋ถ์ ๋ ธ์ถ๋ CI/CD ์ธํ๋ผ๊ฐ ์ผ๋ง๋ ์ฝ๊ฒ ์ค์ ๊ณต๊ฒฉ์ผ๋ก ์ ํ๋ ์ ์๋์ง๋ฅผ ๋ณด์ฌ์ฃผ๋ ๋ํ์ ์ธ ์ฌ๋ก์ด๋ค. CISA์ KEV ๋ฑ์ฌ๋ ํด๋น ์ทจ์ฝ์ ์ด ์ด๋ก ์ ์ํ์ ๊ทธ์น์ง ์๊ณ ,ย ํ์ฌ๋ ์ธํฐ๋ท์ ๋จ์ ์๋ ๋ฏธํจ์น GitLab ์ธ์คํด์ค๊ฐ ์ค์ง์ ์ธ ๊ณต๊ฒฉ ๋์์ด ๋๊ณ ์์์ ๋ช ํํ ๋ณด์ฌ์ค๋ค.
์กฐ์ง์ ๋จ์ํ ์ทจ์ฝํ ๋ฒ์ ์ ์ฌ์ฉํ๊ณ ์๋์ง ์ฌ๋ถ๋ง์ ํ์ธํด์๋ ์ ๋๋ค. ์ธ๋ถ์์ ์ ๊ทผ ๊ฐ๋ฅํ GitLab ์ธ์คํด์ค๊ฐ ์ด๋์ ์กด์ฌํ๋์ง๋ฅผ ์ง์์ ์ผ๋ก ์๋ณํด์ผ ํ๋ฉฐ, ํจ์น ๋ฐ ์ค์ ๋ณ๊ฒฝ ์ดํ์๋ ๋ ธ์ถ ์ํ๊ฐ ์ค์ ๋ก ํด์๋์๋์ง๋ฅผ ๋ฐ๋ณต์ ์ผ๋ก ๊ฒ์ฆํด์ผ ํ๋ค.ย ์ทจ์ฝ์ ์ ๋ณด์ ์ธ๋ถ ๊ณต๊ฒฉ ํ๋ฉด ๊ฐ์์ฑ์ ๊ฒฐํฉํ ๋์๋ง์ด, CVE-2021-39935์ ๊ฐ์ ์ธ์ฆ ์ด์ SSRF ์ทจ์ฝ์ ์ผ๋ก๋ถํฐ CI/CD ํ๊ฒฝ์ ๋ณดํธํ ์ ์๋ ํ์ค์ ์ธ ๋ฐฉ์ด ์ ๋ต์ด๋ค.
๊ด๋ จํ์ฌย CVE-2026-24061: GNU Inetutils telnetd ์ธ์ฆ ์ฐํ ์ทจ์ฝ์ ๋ถ์ย ๊ธ์ ์ฐธ๊ณ ํ ์ ์๋ค.
Criminal IP (criminalip.io/ko/register) ์ ๊ฐ์ ํ๋ฉด ์ฆ์ ์ทจ์ฝ ์์ฐ ํ์ง๋ฅผ ์์ํ ์ ์์ต๋๋ค. ๋ํ ์๋ ๋ฒํผ์ ํตํด ๋ฐ๋ชจ๋ฅผ ์์ฒญํ๊ณ ,ย ์ํฐํ๋ผ์ด์ฆ ํ๊ฒฝ์์ ์ธ๋ถ์ ๋ ธ์ถ๋ ์์ฐ์ ๋์์ผ๋ก ํ Criminal IP์ ์ํ ์ธํ ๋ฆฌ์ ์ค(TI) ๋ถ์์ ์ง์ ํ์ธํด ๋ณด์ธ์.

์ด ๋ฆฌํฌํธ๋ย AI๊ธฐ๋ฐ ์ฌ์ด๋ฒ ์ํ ์ธํ ๋ฆฌ์ ์คย ๊ฒ์์์งย Criminal IP์ ๋ฐ์ดํฐ๋ฅผ ๋ฐํ์ผ๋ก ์์ฑ๋์์ต๋๋ค.ย ์ง๊ธ ๋ฐ๋กย Criminal IP ๋ฌด๋ฃ ๊ณ์ ์ ์์ฑํ๋ฉด ๋ฆฌํฌํธ์ ์ธ์ฉ๋ ๊ฒ์ ๊ฒฐ๊ณผ๋ฅผ ์ง์ ํ์ธํ๊ฑฐ๋,ย ๋ ๋ฐฉ๋ํ ์ํ ์ธํ ๋ฆฌ์ ์ค๋ฅผ ์์ ๋กญ๊ฒ ๊ฒ์ํ ์ ์์ต๋๋ค.ย
๋ฐ์ดํฐ ์ถ์ฒ : Criminal IP (https://www.criminalip.io/ko), BleepingComputer(https://www.bleepingcomputer.com/news/security/cisa-warns-of-five-year-old-gitlab-flaw-exploited-in-attacks/), CyberSecurityNews (https://cybersecuritynews.com/cisa-warns-gitlab-ssrf-vulnerability-exploit/)
๊ด๋ จ ๊ธ :ย https://www.criminalip.io/ko/knowledge-hub/blog/32538
