- 미국 CISA가 Drupal Core 취약점(CVE-2026-9082)을 실제 공격 확인 후 KEV 목록에 등재
- 실제 익스플로잇 보고와 자동화 공격 도구 등장, 패치 미적용 서버 위협 심각
- 모든 Drupal 운영 조직은 즉각적인 보안 패치와 침해 징후 점검 필수
“패치 미적용의 비용은 생각보다 훨씬 크며, 최신 정보에 기반한 적극적 대응이 곧 보안의 시작입니다.”
사건 개요
미국 사이버보안 및 인프라 보안국(CISA)이 Drupal Core의 중대한 보안 취약점 CVE-2026-9082를 방어 우선순위 목록인 Known Exploited Vulnerabilities(KEV)에 추가했습니다. 이 취약점은 SQL 인젝션 유형이며, 지원되는 모든 Drupal Core 버전(10, 9, 7)에 영향을 미치는 것으로 확인됐습니다.
CISA KEV 목록 등재의 의미
CISA의 KEV 카탈로그는 실제 공격이 이미 발생한, 위험성이 높은 취약점만을 엄선해 등록합니다. Drupal Core의 이번 추가는 해커들이 해당 취약점으로 실제 침투에 성공한 것으로 공식 확인된 것입니다. CISA는 미국 연방 기관뿐 아니라 모든 조직에 패치 완료를 강하게 권고하고 있습니다.
취약점 기술적 세부사항
CVE-2026-9082는 취약점 심각도가 중간 수준(CVSS 6.5)으로 평가되지만, SQL 인젝션 본질상 데이터 유출이나 변조 그리고 시스템 명령 실행까지 이어질 수 있습니다. 즉, 공격자가 데이터베이스 내부를 쉽게 조작하거나 추가 공격을 펼칠 수 있음을 의미합니다.
Drupal.org는 해당 취약점에 대한 보안 패치(SA-CORE-2026-006)를 이미 공개했습니다. 그러나 KEV 등재는 곧 전 세계적으로 패치 미적용 서버를 노린 자동화 공격 탐지 도구와 익스플로잇 시도가 활성화되었음을 경고합니다.
실제 공격 사례 및 익스플로잇 동향
보안 전문 커뮤니티 및 외신에 따르면, 해당 취약점을 노린 공격 코드가 이미 공개된 바 있습니다. 자동화된 공격 도구를 활용해 패치가 이뤄지지 않은 Drupal 서버를 겨냥한 대규모 스캔이 이뤄지고 있고, 침입 성공 사례 역시 점점 증가하고 있습니다.
보안 담당자 대응 권고사항
Drupal Core를 운영 중인 기관 및 기업의 보안 담당자는 아래 조치를 반드시 즉각 실행해야 합니다.
- 즉시 패치 적용: 운영 중인 서버의 Drupal Core를 최신 보안 패치로 업데이트
- 취약점 점검: 모든 공개 및 사내 시스템에 대해 CVE-2026-9082 진단 스캔 실시
- 이상 트래픽 감지: SQL 패턴 또는 의심스러운 접근 시도를 포함한 액세스 로그를 집중 모니터링
- 백업 체계 점검: 만일의 침해 사태에 대비한 최신 백업 유지 여부 확인
- 웹 방화벽 규칙 보강: SQL 인젝션 탐지 및 차단이 가능한 WAF 정책 적용
향후 시사점
이 사건은 CMS 기반 웹사이트의 핵심 소프트웨어 보안 업데이트 미비가 치명적인 결과로 이어질 수 있음을 보여줍니다. CVE 발표 후 익스플로잇이 유포되기까지의 기간은 점점 짧아지고 있어, 단순 주기적 패치 체계에서 벗어나 실시간 위협 정보를 즉각 반영한 능동적 보안 관리가 반드시 필요합니다.
출처: CISA KEV 카탈로그, Drupal Security Advisory(SA-CORE-2026-006), The Hacker News
- 실제 공격이 확인된 CISA KEV 목록 등재, 강조된 위험도 인지!
- 공개된 익스플로잇 코드와 자동화된 대규모 침투 시도
- 즉각적 패치와 침해 지표 점검만이 최선의 대응