아파치 티카에서 방심 유발하는 10점 만점 취약점 발견돼
- 여러 데이터에서 메타데이터 추출하는 도구
- 8월에 발견된 취약점이 재발견된 것과 마찬가지
- 8월의 패치는 불완전…새로운 패치 적용해야
아파치재단(Apache Foundation)에서 만든 도구 중 하나인 티카(Tika)에서 10점 만점짜리 취약점이 발견됐다. CVE-2025-66516으로 알려진 취약점으로, 지난 8월 공개된 CVE-2025-54988에 그 뿌리를 두고 있다. 아파치재단은 먼저 알려진 CVE-2025-54988을 패치하여 문제를 해결했지만 당시에는 CVE-2025-66516이라는 취약점에 대해서는 알지 못했었다.
티카는 무엇인가?
티카는 여러 가지 유형의 데이터에서 메타데이터를 추출하는 기능을 가진 도구다. 이 ‘여러 유형의 데이터’ 내에는 PDF 파일도 포함된다. 지난 여름 발견된 CVE-2025-54988은 PDF 파일을 조작함으로써 XXE 공격을 수행할 수 있게 해 주는 것으로, CVSS 기준 8.4점을 받았을 정도로 심각한 취약점이었다. 8.4점이면 고위험군에 해당한다.
PDF 파일 안에는 XML 기반의 양식인 XFA가 탑재될 수 있다. 즉 PDF 문서 내 또 다른 문서를 삽입할 수 있는 기술이라는 의미다. 티카가 메타데이터를 추출하기 위해 PDF 문서를 검사한다고 했을 때 공격자가 XFA를 악의적으로 조작하여 해당 PDF 문서에 삽입한다면, 티카가 검사 과정에서 XFA 기반 문서에 숨겨진 악성코드를 실행하게 된다는 게 CVE-2025-54988 취약점의 핵심 내용이다. XXE는 외부 URL에 저장된 악성코드를 실행하는 유형의 공격이다.
아파치는 이 취약점의 심각성을 인지하고 빠르게 수정했었다. 하지만 CVE-2025-66516이라는 더 심각한 취약점이 연말에 발견되리라고는 상상도 하지 못했다. 즉, 다른 취약점이 존재한다는 사실을 모른 채 패치를 했기 때문에, 결과적으로 8월의 패치는 불완전한 패치가 되어버렸다. 그러므로 CVE-2025-66516은 CVE-2025-54988에 대한 패치가 온전하지 못해 생긴 문제로 기록되고 있다.
CVE-2025-66516?
CVE-2025-66516의 뿌리가 CVE-2025-64988이기 때문에 취약점의 내용은 대동소이하다. 즉 CVE-2025-66516 역시 PDF 파일 안에 조작된 XFA를 탑재시킴으로써 티카가 XXE 공격을 하도록 유도하는 특성을 가지고 있다는 의미다. 하지만 CVE-2025-64988과 달리 CVSS 점수가 10점이다. 8.4점과 10점 모두 ‘특별히 위험하다’는 점에서는 같지만, 전자는 고위험군으로, 후자는 초고위험군으로 분류된다. 왜 이런 차이가 발생하는 것일까?
취약점 데이터베이스인 NVD의 분석에 따르면 ‘취약점 익스플로잇을 위한 공격 진입점’에 차이가 있다고 한다. 먼저 발견된 CVE-2025-64988의 경우 아파치재단이 패치했을 때만 하더라도 공격 진입점이 tika-parser-pdf-module인 것으로 파악하고 있었다. 그리고 그 파악된 내용을 기반으로 패치를 진행했다. 하지만 정말 수정했어야 하는 건 tika-core에 있었다는 게 뒤늦게 밝혀졌다. 즉 이전 패치를 적용한다면 사실 엉뚱한 걸 고쳐놓고는 ‘나는 안전해’라는 착각을 하게 된다는 것이다.
‘나는 안전하다’는 방심은 보안에 있어서 가장 큰 문제로서 작용한다. 이번 사건처럼 패치가 불완전하게 개발돼 배포됐을 경우(의외로 왕왕 발생한다), 이런 방심을 곧잘 유발한다. 전사적으로 패치 하나 설치하고서 ‘안전하다’고 믿는 경영진들도 있고, 반기에 한 번 유인물 나눠주는 것으로 보안 교육을 훌륭히 마쳤다고 여기는 보안 담당자들도 있다. 이런 모든 것들이 ‘방심’이고, 이는 대부분 사고로 이어진다.
하지만 단순히 ‘잘못된 패치로 방심이 유발될 수 있다’는 것만으로 8.4점짜리 취약점이 10점짜리로 승급하지는 않는다. 이러한 격상의 더 실질적인 이유는 tika-core다. Tika-parser-pdf-module보다 tika-core가 훨씬 더 광범위하게 영향을 미치는 요소인데, 실제 XXE 공격으로 이끄는 취약점이 바로 여기에 있었다는 게 고위험군 취약점을 초고위험군으로 분류되게 만들었다고 첩보 플랫폼인 스레트레이더(Threat Radar)는 설명한다.
그러므로 tika-parser-pdf-module만 업데이트 해서는 안전할 수 없다. Tika-core까지도 3.2.2 이상으로 버전을 올려야 한다는 게 아파치재단의 권고다. “하지만 즉각적인 업데이트가 어렵다면 XFA를 포함한 PDF를 당분간 티카로 검사하지 말아야 합니다. 아예 조직 차원에서 이러한 문서를 차단하는 것도 안전한 방법일 수 있습니다. XML이 외부 링크를 처리하지 못하도록 XML 기능을 설정하는 것도 필요합니다.”
가장 안전한 버전의 티카는 여기(https://tika.apache.org/download.html)서 다운로드가 가능하다. 아직 이번 사태로 인한 피해 상황은 보고된 바 없다. 하지만 공격이 성공한다면 공격자는 피해자 파일 시스템 내 임의의 파일이나 읽을 수 있고, 서버 측 요청 조작 공격도 할 수 있게 된다. 경우에 따라 원격 코드 실행이 가능하다는 분석도 나오는 중이다.”🆃🆃🅔
by 문가용 기자(anotherphase@thetechedge.ai)
Related Materials
- [1] Security Page – List of Known and Fixed Vulnerabilities in Apache Tika, 2024년 업데이트
- [2] Critical Flaw in Apache Tika PDF Parser Exposes Sensitive Data (XXE, CVE-2025-54988), 2024년
- [3] Warning: Critical Vulnerability in Apache Tika Modules Can Lead to Data Exfiltration and Internal Reconnaissance (CVE-2025-54988, CVE-2025-66516), 2024년
- [4] Apache Tika < 1.28.4, 2.4.x < 2.4.1 DoS Vulnerability (CVE-2022-33879), 2023년
문가용 기자
문가용 기자
![[TE머묾] 헝가리 통해 보는 보안 배척 레퍼토리](https://images.unsplash.com/photo-1590520477800-3907c51f094b?crop=entropy&cs=tinysrgb&fit=max&fm=jpg&ixid=M3wxMTc3M3wwfDF8c2VhcmNofDR8fCVFRCU5NSU5OCVFRCU5MiU4OHxlbnwwfHx8fDE3Nzg1NjYxMjR8MA&ixlib=rb-4.1.0&q=80&w=600)