마리모 RCE 제로데이(CVE-2026-39987) – 공개 10시간 만에 실전 악용, 오픈소스 보안대응 시사점

사건 개요: Marimo RCE 취약점 발견 및 신속 악용

2026년 4월, 데이터 과학 및 분석용으로 널리 사용되는 오픈소스 파이썬 노트북 Marimo에서 심각한 원격 코드 실행(RCE) 취약점이 발견되었습니다. 이 취약점은 CVE-2026-39987로 지정되었으며, 공식 평가에서 CVSS 9.3점의 매우 높은 심각도를 받았습니다. 문제는 취약점 공개 후 단 10시간 만에 실제 공격이 포착됐다는 것입니다. 보안 분석 업체 Sysdig에 따르면, 상세 내용 공개 직후 공격자들이 해당 취약점에 즉시 반응하여 실전 공격에 악용했습니다.

취약점 상세: 영향받는 버전 및 공격 특성

취약점(CVE-2026-39987)은 Marimo 2026.3.1 이전 모든 버전에 영향을 미치며, 데이터 과학 도구로서 다양한 조직에서 활용도가 높아 파급 효과가 큽니다. 공격의 주요 특징은 인증 절차 없이 누구나 원격에서 임의의 코드를 실행할 수 있고, 서버 전체 제어권까지 탈취될 수 있다는 점입니다.

• 인증 불필요: 로그인 없이도 취약점 공격 가능
• 임의 코드 실행: 시스템 명령어 및 악성 코드 삽입 위험
• 서버 전체 장악: 관리자 권한 확보로 인해 주요 데이터와 서비스 타격

이로 인해 인터넷에 노출된 구버전 Marimo 서버는 즉각적인 보안 조치가 필요합니다.

실제 공격 사례: 10시간 내 악용 및 공격 행위 양상

Sysdig 위협 인텔리전스 보고에 따르면 취약점 공개 직후 다양한 자동화 도구를 활용한 스캐닝과 공격 시도가 전 세계적으로 즉시 탐지되었습니다. 공격자들은 success 시 원격 쉘 스크립트 다운로드 및 실행, 지속적인 접근을 위한 백도어 설치, 크립토마이너 등 추가 악성코드 주입 등 고전적인 행위를 보였습니다. 이는 오픈소스 프로젝트의 보안 패치 공백이 곧바로 현실적 위협으로 전이될 수 있음을 잘 보여줍니다.

개발사의 대응: 패치 및 보안 권고

Marimo 개발팀은 신속하게 패치를 완성해 배포했습니다. 2026.3.1 이상으로 즉시 업데이트가 권장됩니다. 주요 보안 권고사항은 다음과 같습니다.

• 즉각적인 최신 버전 패치: 해당 버전 이하 사용 조직은 하루라도 빠르게 업데이트해야 합니다.
• 네트워크 접근 차단: 서버를 인터넷에 직접 노출하지 않고, 내부망 분리 정책을 적용해야 합니다.
• 이상 행위 모니터링: 침투 흔적이나 의심스러운 프로세스 실행 감시를 강화해야 합니다.

오픈소스 보안 인사이트: 빠른 악용과 조직의 대응 과제

이번 사례는 오픈소스 프로젝트의 취약점이 공개와 동시에 악용되는 현실을 드러냅니다. 자동화 도구, 실시간 위협 정보 공유 등으로 인해 과거보다 공격 전환 속도가 크게 단축됐습니다. 특히 Marimo와 같은 데이터 과학 도구는 여러 프로젝트의 기반이 되므로 한 번의 취약점이 연쇄적 파장을 일으킬 수 있습니다. 따라서 네트워크 분리 및 인증 없는 서비스 최소화, 즉시 패치 적용 등 신속 대응 체계가 필수입니다.

결론 및 조직의 보호 조치 방향

조직들은 다음과 같은 점을 명심해야 합니다.

1. 24시간 내 패치 적용 프로세스를 구축하여 보안 공백을 최소화해야 합니다.
2. 실시간 위협 인텔리전스 체계를 도입하여 취약점 정보를 신속 수집·분석해야 합니다.
3. 네트워크 세분화 및 외부 노출 최소화 전략을 도입해야 합니다.
4. 정기적 침해 대응 훈련을 통해 실전 공격에 능동적으로 대비해야 합니다.

오픈소스 소프트웨어 인기와 함께 보안 역량도 동반 강화되어야 합니다. Marimo 사용 조직은 즉시 버전을 확인하고 패치해야 하며, 미조치 시 네트워크 차단 등 시급한 대응이 요구됩니다.