아파치 티카에서 방심 유발하는 10점 만점 취약점 발견돼

아파치재단(Apache Foundation)에서 만든 도구 중 하나인 티카(Tika)에서 10점 만점짜리 취약점이 발견됐다. CVE-2025-66516으로 알려진 취약점으로, 지난 8월 공개된 CVE-2025-54988에 그 뿌리를 두고 있다. 아파치재단은 먼저 알려진 CVE-2025-54988을 패치하여 문제를 해결했지만 당시에는 CVE-2025-66516이라는 취약점에 대해서는 알지 못했었다.

티카는 무엇인가?

티카는 여러 가지 유형의 데이터에서 메타데이터를 추출하는 기능을 가진 도구다. 이 ‘여러 유형의 데이터’ 내에는 PDF 파일도 포함된다. 지난 여름 발견된 CVE-2025-54988은 PDF 파일을 조작함으로써 XXE 공격을 수행할 수 있게 해 주는 것으로, CVSS 기준 8.4점을 받았을 정도로 심각한 취약점이었다. 8.4점이면 고위험군에 해당한다.

아파치는 이 취약점의 심각성을 인지하고 빠르게 수정했었다. 하지만 CVE-2025-66516이라는 더 심각한 취약점이 연말에 발견되리라고는 상상도 하지 못했다. 즉, 다른 취약점이 존재한다는 사실을 모른 채 패치를 했기 때문에, 결과적으로 8월의 패치는 불완전한 패치가 되어버렸다. 그러므로 CVE-2025-66516은 CVE-2025-54988에 대한 패치가 온전하지 못해 생긴 문제로 기록되고 있다.

CVE-2025-66516?

CVE-2025-66516의 뿌리가 CVE-2025-64988이기 때문에 취약점의 내용은 대동소이하다. 즉 CVE-2025-66516 역시 PDF 파일 안에 조작된 XFA를 탑재시킴으로써 티카가 XXE 공격을 하도록 유도하는 특성을 가지고 있다는 의미다. 하지만 CVE-2025-64988과 달리 CVSS 점수가 10점이다. 8.4점과 10점 모두 ‘특별히 위험하다’는 점에서는 같지만, 전자는 고위험군으로, 후자는 초고위험군으로 분류된다. 왜 이런 차이가 발생하는 것일까?

취약점 데이터베이스인 NVD의 분석에 따르면 ‘취약점 익스플로잇을 위한 공격 진입점’에 차이가 있다고 한다. 먼저 발견된 CVE-2025-64988의 경우 아파치재단이 패치했을 때만 하더라도 공격 진입점이 tika-parser-pdf-module인 것으로 파악하고 있었다. 그리고 그 파악된 내용을 기반으로 패치를 진행했다. 하지만 정말 수정했어야 하는 건 tika-core에 있었다는 게 뒤늦게 밝혀졌다. 즉 이전 패치를 적용한다면 사실 엉뚱한 걸 고쳐놓고는 ‘나는 안전해’라는 착각을 하게 된다는 것이다. 

‘나는 안전하다’는 방심은 보안에 있어서 가장 큰 문제로서 작용한다. 이번 사건처럼 패치가 불완전하게 개발돼 배포됐을 경우(의외로 왕왕 발생한다), 이런 방심을 곧잘 유발한다. 전사적으로 패치 하나 설치하고서 ‘안전하다’고 믿는 경영진들도 있고, 반기에 한 번 유인물 나눠주는 것으로 보안 교육을 훌륭히 마쳤다고 여기는 보안 담당자들도 있다. 이런 모든 것들이 ‘방심’이고, 이는 대부분 사고로 이어진다.

하지만 단순히 ‘잘못된 패치로 방심이 유발될 수 있다’는 것만으로 8.4점짜리 취약점이 10점짜리로 승급하지는 않는다. 이러한 격상의 더 실질적인 이유는 tika-core다. Tika-parser-pdf-module보다 tika-core가 훨씬 더 광범위하게 영향을 미치는 요소인데, 실제 XXE 공격으로 이끄는 취약점이 바로 여기에 있었다는 게 고위험군 취약점을 초고위험군으로 분류되게 만들었다고 첩보 플랫폼인 스레트레이더(Threat Radar)는 설명한다. 

그러므로 tika-parser-pdf-module만 업데이트 해서는 안전할 수 없다. Tika-core까지도 3.2.2 이상으로 버전을 올려야 한다는 게 아파치재단의 권고다. “하지만 즉각적인 업데이트가 어렵다면 XFA를 포함한 PDF를 당분간 티카로 검사하지 말아야 합니다. 아예 조직 차원에서 이러한 문서를 차단하는 것도 안전한 방법일 수 있습니다. XML이 외부 링크를 처리하지 못하도록 XML 기능을 설정하는 것도 필요합니다.”

가장 안전한 버전의 티카는 여기(https://tika.apache.org/download.html)서 다운로드가 가능하다. 아직 이번 사태로 인한 피해 상황은 보고된 바 없다. 하지만 공격이 성공한다면 공격자는 피해자 파일 시스템 내 임의의 파일이나 읽을 수 있고, 서버 측 요청 조작 공격도 할 수 있게 된다. 경우에 따라 원격 코드 실행이 가능하다는 분석도 나오는 중이다.”🆃🆃🅔

by 문가용 기자(anotherphase@thetechedge.ai)

Related Materials

• [1] Security Page – List of Known and Fixed Vulnerabilities in Apache Tika, 2024년 업데이트
• [2] Critical Flaw in Apache Tika PDF Parser Exposes Sensitive Data (XXE, CVE-2025-54988), 2024년
• [3] Warning: Critical Vulnerability in Apache Tika Modules Can Lead to Data Exfiltration and Internal Reconnaissance (CVE-2025-54988, CVE-2025-66516), 2024년
• [4] Apache Tika < 1.28.4, 2.4.x < 2.4.1 DoS Vulnerability (CVE-2022-33879), 2023년

취약점 PoC, 공개해야 하나 말아야 하나

💡Editor’s Pick - 파일 전송 솔루션 윙FTP서버에서 10점짜리 취약점 발견됨 - 이 취약점 익스플로잇 하면 원격에서 서버 통째로 장악 가능 - 잠잠했다가 PoC 공개된 이후부터 익스플로잇 시도 극성 파일 전송 기술인 윙FTP서버(Wing FTP Server)에서 초고위험도 취약점이 발견됐다. CVE-2025-47812로, CVSS 기준 10점 만점에 10점을 받았다. 익스플로잇에 성공할 경우 공격자는

The Tech Edge문가용 기자

아키라, 아파치의 무료 오피스 데이터 유출 예고

💡Editor’s Pick - 아파치재단의 무료 오피스 침해했다고 주장 - 직원 개인정보와 회사 기밀 가지고 있다고 주장 - 곧 공개하겠다는 걸로 보아 협상 진행에 차질 있는 듯 아키라(Akira) 랜섬웨어 조직이 새로운 데이터를 공개했다. 아파치오픈오피스(Apache OpenOffice)에서 탈취한 것으로 총 용량이 23GB다. 아직 아파치 측에서는 사실 확인에 관한 발표가 없는

The Tech Edge문가용 기자