문의하기
블로그

nginx-ui MCPwn(CVE-2026-33032) 분석: MCP 인증 누락으로 이어지는 Nginx 서버 장악

본 글에서는 CVE-2026-33032의 기술적 원인과 체이닝 공격 시나리오를 분석하고, 외부에 노출된 nginx-ui 인스턴스가 어떤 공격 표면을 형성하고 영향을 주고 있는지 Criminal IP 분석을 통해 살펴본다.

2026년 3월, 오픈소스 Nginx 관리 도구 nginx-ui에서 치명적인 인증 우회 취약점 CVE-2026-33032가 공개되었다. ‘MCPwn’으로 명명된 이 취약점은 CVSS v3.1 기준 9.8(Critical)로 평가되었으며, 실제 공격에 악용되고 있는 것으로 확인되었다. 이번 이슈가 주목받는 이유는 단순한 인증 누락을 넘어, MCP(Model Context Protocol) 통합 과정에서 발생한 구조적 보안 결함이라는 점에 있다. 더불어 별도로 공개된 CVE-2026-27944와 체이닝될 경우, 인터넷에 노출된 환경에서도 완전한 무인증 서버 장악이 가능하다.

본 글에서는 CVE-2026-33032의 기술적 원인과 체이닝 공격 시나리오를 분석하고, 외부에 노출된 nginx-ui 인스턴스가 어떤 공격 표면을 형성하는지 살펴본다.

CVE-2026-33032 취약점 개요

MCPwn을 요약하여 나타낸 AI 생성 이미지
항목내용
취약점 IDCVE-2026-33032 (MCPwn)
영향 제품nginx-ui
취약점 유형인증 우회 (CWE-306)
CVSS 점수9.8 (Critical)
영향 버전nginx-ui v2.3.3 이하
패치 버전v2.3.4 (2026년 3월 릴리즈)
악용 현황실제 공격 확인

nginx-ui는 웹 기반 인터페이스를 통해 Nginx 설정을 관리할 수 있는 도구로, 최근 MCP 기능이 추가되면서 AI 기반 자동화 기능을 지원하게 되었다. 그러나 이 기능 추가 과정에서 인증 검증이 일부 엔드포인트에 적용되지 않는 문제가 발생했다.

기술적 원인: 미들웨어 한 줄의 부재

MCP 통합은 두 개의 HTTP 엔드포인트를 기반으로 동작한다.

  • /mcp: 인증 + IP 화이트리스트 적용
  • /mcp_message: IP 화이트리스트만 적용 (인증 누락)

문제는 /mcp_message 엔드포인트에 인증 미들웨어(AuthRequired())가 적용되지 않았다는 점이다.

여기에 더해, IP 화이트리스트의 기본값이 비어 있는 상태이며, 시스템은 이를 “모든 접근 허용(allow-all)”로 해석한다. 결과적으로 기본 설정 상태에서는 /mcp_message가 사실상 완전한 비인증 엔드포인트로 노출된다. 즉, 단 하나의 요청만으로도 Nginx 서버 전체 제어가 가능한 상태가 된다.

패치(v2.3.4)는 비교적 단순하게 이루어졌다. /mcp_message에 인증 미들웨어를 추가하고, 두 엔드포인트 모두 인증이 적용되도록 수정되었다. 이 수정 사항이 처음부터 적용되었다면 취약점 자체가 발생하지 않았을 것이다. 따라서 이번에 이슈가 된 nginx-ui MCPwn은 단 한 줄의 코드 누락이 전체 서버 장악으로 이어진 대표적인 사례다.

CVE-2026-27944와의 체이닝: 외부 환경에서의 완전한 공격

CVE-2026-33032만으로도 LAN 내에서는 비인증 공격이 가능하다. 그러나 인터넷에 노출된 환경에서는 CVE-2026-27944(CVSS 9.8)와 체이닝될 경우, 외부에서도 완전한 비인증 서버 장악이 가능해 진다. CVE-2026-27944는 /api/backup 엔드포인트를 통해 인증 없이 백업 데이터를 다운로드할 수 있는 취약점이다. 이 과정에서 다음 정보가 유출된다.

  • 사용자 계정 정보
  • SSL 개인 키
  • Nginx 설정
  • node_secret (MCP 인증 키)

공격자는 이와 같은 정보들을 이용하여 백업 데이터 다운로드 및 복호화가 가능하며 이외에도 node_secret 확보, /mcp 요청으로 세션 생성 /mcp_message 요청으로 명령 실행 등이 가능해 진다. 한마디로 요약하면 단 두 번의 요청만으로 공격자는 전체 서버 장악이 가능하다는 것이다.

공격 가능 시나리오

취약점 공개 이후 PoC 코드가 이미 공개된 상태에서, 관측 가능한 공격 흐름은 다음과 같다.

  • 외부에 노출된 nginx-ui 인스턴스 식별
  • /api/backup 접근을 통한 민감 정보 탈취
  • MCP 세션 생성 및 인증 우회
  • Nginx 설정 변조

이후 다음과 같은 후속 공격이 가능하다.

  • 트래픽 가로채기 및 악성 리디렉션
  • 관리자 자격 증명 탈취
  • 웹쉘 삽입 및 지속성 확보
  • 서비스 중단 유도

이는 단순한 취약점 악용이 아니라 웹 인프라 전체 장악으로 이어지는 공격 시나리오다. Pluto Security의 Yotam Perkal 연구원은 이에 대해 “기존 애플리케이션에 MCP를 추가할 때, MCP 엔드포인트는 애플리케이션의 모든 기능을 상속받지만 반드시 보안 제어까지 상속받지는 않는다”고 지적했다. 그는 이것이 애플리케이션이 세심하게 구축한 모든 인증 메커니즘을 우회하는 백도어를 만드는 결과로 이어진다고 설명했다.

CVE-2026-33032는 MCP 통합 취약점의 첫 번째 사례가 아니다. 같은 연구팀이 같은 시기에 공개한 Atlassian MCP 서버(‘mcp-atlassian’) 취약점 CVE-2026-27825(CVSS 9.1)와 CVE-2026-27826(CVSS 8.2)은 로컬 네트워크에서 두 취약점을 체이닝해 비인증 원격 코드 실행을 가능하게 했다. 2026년 1~2월 두 달간 30개 이상의 MCP 관련 CVE가 제출되었으며, 그 중 약 13%가 인증 우회 문제로 분류되었다. 이러한 흐름은 AI 통합 기능을 기존 애플리케이션에 추가할 때 보안 제어가 일관되게 적용되지 않는 구조적 문제가 반복되고 있음을 보여준다.

Criminal IP로 관측된 외부 노출 nginx-ui 자산

인터넷에 노출된 nginx-ui 인스턴스의 실태를 파악하기 위해 Criminal IP를 통해 외부 노출 자산을 관측했다.

Criminal IP Asset Search에 title: nginx ui를 검색한 결과

Criminal IP 검색 쿼리: title: nginx ui

nginx-ui 웹 콘솔은 페이지 타이틀에 서비스명을 그대로 노출하는 특성이 있어, HTML 타이틀 기반 검색만으로도 외부에서 식별 가능한 관리 인터페이스를 효과적으로 탐지할 수 있다. 이 쿼리는 MCP 기능 활성화 여부와 무관하게 nginx-ui 관리 콘솔 자체가 외부에 노출된 모든 인스턴스를 포착한다. CVE-2026-27944(/api/backup 비인증 접근)의 영향권에 놓인 자산을 식별하는 데도 활용 가능하며, 두 취약점의 체이닝 공격 대상을 동시에 파악하는 데 유용하다.

위 쿼리를 통해 탐지한 결과 2026년 4월 기준 약 800개의 자산이 노출된 것이 확인되었다. 이러한 자산들은 단순 노출이 아니라, 공격자가 직접 접근 가능한 관리 인터페이스가 인터넷에 공개된 상태를 의미한다. 특히 두 취약점이 결합되는 시나리오에서는, 해당 자산들이 별도의 추가 조건 없이 즉시 공격 가능한 고위험 대상이 될 수 있다.

인터넷에 노출된 nginx-ui 관련 특정 자산 이미지

위는 외부에 노출된 nginx-ui 기반 자산 중 하나를 Criminal IP로 상세 분석한 결과이다. 분석 대상 자산은 매우 높은 위험도를 보이며 외부에서 유입되는 트래픽이 악성 해위와 연관될 가능성이 높은 상태로 평가된다. 특히 해당 자산에서는 SSH(22), HTTP(80), HTTPS(443) 등의 포트가 동시에 개방되어 있는 것이 확인된다. 이는 단순 웹 서비스가 아닌 실제 운영 환경에서 관리 및 서비스 기능이 함께 노출된 상태를 의미하며, 공격자가 접근 가능한 경로가 다수 존재하는 구조다. 또한 15건의 취약점 및 Exploit DB 연관 항목이 함께 식별된 점을 고려할 때, 단순 노출을 넘어 이미 알려진 공격 기법이 적용될 수 있는 환경으로 해석할 수 있다. 이러한 상태에서 nginx-ui 취약점(CVE-2026-33032)이 존재할 경우, 공격자는 관리 인터페이스를 통해 설정 변경, 트래픽 조작, 서비스 제어 등으로 공격 범위를 확장할 수 있다.

결과적으로 해당 자산은 단일 취약점의 문제가 아니라 다중 포트 노출 + 취약점 존재 + 관리 인터페이스 접근 가능성이 결합된 고위험 공격 표면으로 평가된다.

패치 현황 및 대응 방안

CVE-2026-33032는 2026년 3월 릴리스된 nginx-ui v2.3.4에서 수정되었다. 해당 버전에서는 /mcp_message 엔드포인트에 인증 미들웨어가 추가되었으며, MCP 관련 모든 엔드포인트에 대해 인증이 일관되게 적용되도록 개선되었다. 또한 체이닝 공격에 활용되는 CVE-2026-27944는 v2.3.3에서 패치되었으므로, 두 취약점을 모두 해소하기 위해서는 최소 v2.3.4 이상으로 업데이트하는 것이 필요하다. 다만 일부 버전 추적 자료에서 영향 범위 및 패치 버전 정보가 상이하게 표기된 사례가 확인되므로, 실제 적용 시에는 공식 릴리스 노트를 기준으로 버전 상태를 점검하는 것이 권장된다.

만약 즉각적인 업데이트가 어려운 기업 환경이나 조직에서는 다음과 같은 임시 대응 조치가 필요하다.

  • /mcp_message 엔드포인트에 인증 적용 여부 확인 및 강제 설정
  • IP 화이트리스트 기본 정책을 allow-all에서 deny-all로 변경
  • nginx-ui 관리 포트(기본 9000)의 외부 접근 차단
  • /api/backup 엔드포인트에 대한 네트워크 수준 접근 제한
  • nginx 설정 파일(conf.d/, sites-enabled/) 및 접근 로그에 대한 무단 변경 여부 점검

특히 이번 취약점은 단순 서비스 장애가 아니라 설정 변경 및 트래픽 제어 권한 탈취로 이어질 수 있기 때문에, 침해 가능성이 확인된 경우에는 자격 증명 및 비밀 정보의 교체가 필수적이다.

또한 침해 여부 확인을 위해 다음과 같은 행위 기반 점검이 필요하다.

  • /mcp_message 호출 이력 및 비정상 API 요청 탐지
  • Nginx 설정 파일의 예상치 못한 변경 기록 확인
  • 트래픽 리디렉션 또는 프록시 설정 이상 여부 점검
  • nginx 프로세스 재시작 및 reload 이력 분석

이번 취약점의 핵심은 단순 패치 적용이 아니라 관리 인터페이스 노출과 설정 변경 권한이 외부에 노출되어 있었는지 여부를 확인하는 것이다. 따라서 패치를 넘어서 이와 함께 외부 노출 자산 점검 및 접근 통제까지 병행하는 것이 필요하다.

FAQ

Q1. nginx-ui가 내부망에만 노출되어 있다면 안전한가요?

LAN 내부에서만 접근 가능한 환경이라면 CVE-2026-27944 체이닝 없이도 /mcp_message 엔드포인트에 직접 접근할 수 있습니다. 즉, 내부망 노출만으로도 동일 네트워크의 공격자에게 Nginx 서버 완전 장악 가능성이 열려 있습니다. 내부망 환경이라고 해서 취약하지 않은 것이 아니며, 업데이트와 MCP 기능 비활성화가 우선적으로 필요합니다.

Q2. MCP 기능을 사용하지 않아도 취약한가요?

v2.3.3 이하를 사용 중이라면, MCP 기능을 사용하지 않더라도 엔드포인트 자체가 활성화되어 있을 수 있습니다. 또한 CVE-2026-27944의 경우 MCP와 무관하게 /api/backup 엔드포인트만으로 자격 증명 전체가 유출될 수 있습니다. 두 취약점 모두 v2.3.4로 업데이트하는 것이 유일한 완전한 해결책입니다.

결론

CVE-2026-33032(MCPwn)는 두 가지 측면에서 주목할 만한 취약점이다. 기술적으로는 단 한 줄의 미들웨어 누락이 Nginx 서버 전체를 무방비 상태로 만드는 결과로 이어졌다. 보안 트렌드 측면에서는 AI 통합 기능이 기존 애플리케이션의 보안 제어를 우회하는 새로운 공격 표면을 형성하는 패턴이 반복되고 있음을 확인시켜준다. nginx-ui를 운영 중인 조직이라면 즉각적인 v2.3.4 업데이트와 함께, 해당 인스턴스가 외부에서 접근 가능한 상태인지 여부를 우선적으로 점검해야 한다. 다수의 인스턴스가 인터넷에 노출된 현황과 PoC 코드까지 공개된 상황은, 패치가 지연되는 모든 자산이 즉각적인 공격 대상이 될 수 있음을 의미한다. 취약점의 존재 여부만큼 중요한 것은, 그 취약점을 가진 자산이 어디에 노출되어 있는가를 아는 것이다.

관련하여 CVE-2026-34197: Apache ActiveMQ RCE 취약점 분석 글을 참고할 수 있다.

Criminal IP (criminalip.io/ko/register) 에 가입하면 즉시 취약 자산 탐지를 시작할 수 있습니다. 또한 아래 버튼을 통해 데모를 요청하고, 엔터프라이즈 환경에서 외부에 노출된 자산을 대상으로 한 Criminal IP의 위협 인텔리전스(TI) 분석을 직접 확인해 보세요.


이 리포트는 AI기반 사이버 위협 인텔리전스 검색엔진 Criminal IP의 데이터를 바탕으로 작성되었습니다. 지금 바로 Criminal IP 무료 계정을 생성하면 리포트에 인용된 검색 결과를 직접 확인하거나, 더 방대한 위협 인텔리전스를 자유롭게 검색할 수 있습니다. 

출처: Criminal IP(https://www.criminalip.io/ko), SecurityAffairs (https://securityaffairs.com/190841/hacking/cve-2026-33032-severe-nginx-ui-bug-grants-unauthenticated-server-access.html), SECURITYWEEK (https://www.securityweek.com/exploited-vulnerability-exposes-nginx-servers-to-hacking/), TheHackerNews (https://thehackernews.com/2026/04/critical-nginx-ui-vulnerability-cve.html)

관련 글: https://www.criminalip.io/ko/knowledge-hub/blog/33931

nginx-ui MCPwn(CVE-2026-33032) 분석: MCP 인증 누락으로 이어지는 Nginx 서버 장악 | CIP Blog | Criminal IP