AI가 수십 년 된 버퍼 오버플로 문제를 광범위하게 사용되는 구성요소에서 발굴하면서 오픈소스 데이터베이스가 오래된 메모리 문제에 직면하고 있다. 보안 연구자가 포스트그레SQL(PostgreSQL)과 마리아DB(MariaDB)에 영향을 미치는 고심각도·심각 등급 취약점을 공개했으며, 그 중 두 버그는 발생 기원이 20년 이상으로 거슬러 올라간다.

위즈(Wiz)의 zeroday.cloud 해킹 행사에서 AI 기반 보안 분석 도구 ‘신트 코드(Xint Code)‘를 활용한 연구자는 포스트그레SQL의 ‘pgcrypto’ 확장 기능에서 고심각도 제로데이 버그를 발견했고, 마리아DB의 JSON 스키마 유효성 검사 로직에서 힙 버퍼 오버플로를 확인했다. 두 취약점 모두 각 데이터베이스 서버에서 원격 코드 실행(RCE)을 허용한다.

신트 코드 팀은 포스트그레SQL에서 20년 동안 숨어있던 유효성 검사 누락 버그도 발굴했다. 이 버그를 이용하면 공격자가 임의 코드를 작성할 수 있다.

포스트그레SQL과 마리아DB 유지 관리팀은 모든 취약점에 대한 패치를 출시하며 사용자에게 즉시 수정 버전으로 업그레이드할 것을 촉구했다.

포스트그레SQL의 복수 취약점

포스트그레SQL 제로데이 취약점 중 더 시급한 것은 ‘pgcrypto’ 확장 기능의 힙 기반 버퍼 오버플로로, CVE-2026-2005로 추적된다. 연구자는 블로그 게시물에서 특수하게 조작된 입력을 사용하면 크기 불일치를 유발해 힙에서 범위 외 쓰기로 이어질 수 있다고 밝혔다.

pgcrypto가 사용자 제어 입력을 처리하는 환경에서는 이를 이용해 데이터베이스 서버에서 원격 코드 실행이 가능하다. 이 취약점은 지원되는 모든 버전에 영향을 미치며 v18.2, v17.8, v16.12, v15.16, v14.21을 포함한 업데이트에서 수정됐다. CVSS 기준 8.8의 고심각도 등급을 받았다. 연구자는 “취약한 코드는 pgcrypto가 2005년 처음 제공된 이후 20년 이상 존재해왔다”고 덧붙였다.

포스트그레SQL에서 보고된 취약점은 이뿐 아니다. 위즈 행사에 ‘팀 버그즈 버니즈(Team Bugz Bunnies)’로 참가한 또 다른 연구자 그룹도 임의 코드 실행을 허용하는 유효성 검사 누락 버그 CVE-2026-2006을 발견했다. CVSS 9에 가까운 심각도를 받은 이 취약점은 CVE-2026-2005와 동일한 업데이트에서 패치됐다.

포스트그레SQL 유지 관리팀은 이 취약점이 수년간 발견되지 않다가 공개됐으며 공격자들이 익스플로잇 코드에 접근할 수 있는 상황이라며 신속한 패치를 촉구했다. 취약점은 2월에 수정됐지만 위즈 분석에 따르면 클라우드 환경의 80%가 포스트그레SQL을 사용하고 있으며, 그 중 45%가 인터넷에 직접 노출돼 있다.

마리아DB 서버 원격 코드 실행 허용한 JSON 파싱 취약점

마리아DB에서는 신트 코드를 활용해 JSON_SCHEMA_VALID() 함수에서 버퍼 오버플로 취약점 CVE-2026-32710이 발견됐다. 인증된 사용자가 충돌을 유발할 수 있으며, 통제된 조건에서는 이것이 원격 코드 실행으로 확대될 수 있다.

포스트그레SQL 취약점과 비교해 이 취약점의 악용은 더 까다롭다. 성공적인 코드 실행은 ‘실험실 환경’에서만 가능한 메모리 레이아웃 조작이 필요하다. 신트 코드 팀은 “도용된 자격증명, SQL 인젝션, 횡적 이동 등 어떤 방법으로든 SQL 세션을 열 수 있는 사용자라면 함수 호출 한 번으로 이 코드 경로에 접근할 수 있다”고 밝혔다.

마리아DB 버전 11.4.1~11.4.9와 11.8.1~11.8.5가 영향을 받으며, 각각 11.4.10과 11.8.6에서 수정됐다. 깃허브는 이 취약점을 CVSS 8.5의 고심각도로 평가했고, 미국 국립표준기술연구소(NIST)는 기본 CVSS 9.9의 심각 등급으로 분류했다.
dl-itworldkorea@foundryco.com