자동화 워크플로우 플랫폼 n8n에서 만점짜리 취약점 발견돼

인기 높은 자동화 워크플로우 제작용 플랫폼인 n8n에서 가장 높은 점수의 취약점이 발견됐다. 보안 기업 사이에라(Cyera)가 발견한 것으로, 해당 취약점은 CVE-2026-21858이며, CVSS 기준 10점 만점을 받았다. 익스플로잇에 성공한 공격자는 인증 과정을 통과하지 않은 채 인스턴스를 탈취해 각종 민감 정보와 기밀을 탈취할 수 있게 된다고 한다.

n8n이라는 플랫폼

자동화 워크플로우를 노코드로 만들 수 있게 해 주는 플랫폼 n8n은 오픈소스이기까지 해서 인기가 급상승 중에 있다. 이 플랫폼을 통해 사람들은 이메일 처리를 자동화 하기도 하고, 구글 드라이브나 드롭박스와 같은 인기 높은 클라우드 서비스 내 파일을 관리하기도 하며, CI/CD 파이프라인 연동 문제도 해결한다. 결제와 주문 처리와 관련된 워크플로우도 만들 수 있고, API 간 데이터를 중계하기도 한다. 활용 가능성이 무궁무진하다.

노코드(no-code)를 지원하기 때문에 사용자들은 코드 지식이 없거나 적어도 n8n을 이용할 수 있다. 백지에 어려운 코드를 이어가면서 작업하는 게 아니라 그래픽 도구를 통한 드래그 앤 드롭 방식으로 원하는 걸 만들어가면 된다. 내부 데이터베이스나 ERP와 연계도 잘 되고, 자동화 로직을 한 곳에서 관리하기 좋게 구성돼 있기 때문에 n8n은 기업 환경에서 높은 인기를 구가하는 중이다. 

CVE-2026-21858

이번에 발견된 취약점인 CVE-2026-21858을 사이에라는 ‘나이트메어(Ni8mare)’라고도 부른다. 최고 점수를 받은 초고위험도 파일 접근 취약점이라고 사이에라는 정리한다. “인증되지 않은 공격자가 웹훅 요청 하나로 n8n 서버에서 임의 파일에 접근해 읽어들일 수 있게 해 줍니다. 공격자는 이를 통해 각종 정보를 탈취할 수 있을 뿐만 아니라 인증을 우회하거나 원격에서 코드를 실행할 수 있게 됩니다. 공격 난이도는 매우 낮은 편입니다.”

취약점이 나타나는 이유는 n8n이 웹훅 요청의 Content-Type을 제대로 검증하지 않기 때문이라고 사이에라는 설명한다. “검증 단계 없이 파일 업로드를 실행하는 게 취약점의 근원입니다. 이 때문에 파일이 실제로 업로드 되지 않았는데도 서버가 업로드 된 파일이 있다고 여기고, 공격자가 지정한 파일 경로의 로컬 파일을 읽는 것이죠.”

이를 활용했을 때 가능해지는 공격 시나리오는 다음과 같다.
1) 공격자가 먼저 웹훅 요청을 보낸다.
2) 요청 속에 포함돼 있는 Content-Type을 위조한다.
3) n8n은 Content-Type을 제대로 검사하지 않는다.
4) 따라서 Content-Type의 파일 처리 로직이 그대로 실행된다.
5) 공격자가 2)번에서 어떤 내용을 포함시켰는지에 따라 여러 공격이 파생된다.

여러 공격이 파생된다?

5)번에서 ‘여러 공격이 파생된다’고 했는데, 실제로 공격자가 할 수 있는 일은 무엇일까? “가장 먼저는 임의 파일을 읽을 수 있습니다. 환경 변수 파일이나, DB 설정 파일, API 키, 인증 토큰, 각종 크리덴셜 등이 노출되는 것입니다. 또한 기밀도 탈취될 수 있습니다. 인증 절차를 우회하는 것도 가능하며, 피해자가 만든 워크플로우를 조작해 엉뚱한 일이 발생하도록 유도하는 것도 가능합니다. 원격 코드 실행 공격도 할 수 있습니다.”

다양한 공격이 가능하게 되는 건 n8n이 가진 구조 때문이기도 하다. n8n은 구조적으로 모든 시스템의 크리덴셜 및 인증 관련 정보를 한 곳에 저장해 둔다. 즉 n8n 하나가 침해 당하면 회사 전체 인프라가 침해당하는 것과 비슷한 효과를 갖게 된다. “이 때문에 사실 현재 발견된 취약점 때문에 ‘일부 기업의 n8n 환경이 침해됐다’고만 볼 수는 없습니다. 실제로 전 세계에서 n8n 도커 이미지를 1억회 이상 다운로드 받은 것으로 집계되고 있기 때문에 단순히 ‘일부 기업에서만 피해가 있다’고만 보기 힘듭니다. 광범위하다고 해야 합니다.”

n8n이 ‘자동화 워크플로우 생성 플랫폼’이라는 것도 문제를 더 심각하게 만든다. ‘자동화 워크플로우’라는 건, 일정한 순서대로 처리되는 다양한 업무가 자동으로 처리되게 만든다는 의미인데, 그래서 여러 ‘업무’와 관련된 자료들이 필연적으로 n8n과 연결될 수밖에 없기 때문이다. 구글 드라이브, 세일즈포스, 오픈AI 챗GPT, 결제 대행, CI/CD 파이프라인과 같은 서비스가 n8n과 자주 연동돼 사용된다. n8n을 통해 이런 서비스들에도 침해가 있을 수 있고, 이는 기업에 큰 피해가 될 공산이 크다.

어떻게 대처해야 하는가

나이트메어 취약점을 해결하는 방법은 공식 패치밖에 없다. 위험을 완화시키는 방법은 현재까지 전무한 것으로 분석됐다고 사이에라는 설명한다. “1.121.0 이상 버전으로 n8n을 업그레이드 하세요. 그것이 현재로서는 유일한 해결책입니다.”

만약 정말로 패치가 불가능한 상황이라면 어떻게 해야 할까? “기본적인 보안 대처를 하는 수밖에 없습니다만, 그것으로 크게 안전해지지는 않을 겁니다. 안 하는 것보다 나은 수준일 뿐입니다.” 그러면서 사이에라는 1) IP를 기반으로 웹훅 접근 허용 목록을 설정하고, 2) VPN 내부 접근만 허용하며, 3) 웹훅 URL에 비밀 토큰을 포함시키거나 헤더 기반 토큰 검사를 실시해야 한다고 권한다.

“나이트메어 취약점은 웹훅을 통해 익스플로잇 합니다. 따라서 외부에 노출된 웹훅을 최소화시키는 게 중요합니다. 실제로 사용하지 않는 웹훅은 비활성화시키거나 아예 삭제하고, 내부 시스템용 웹훅은 반드시 외부에 비공개로 전환시켜야 합니다.”🆃🆃🅔

by 문가용 기자(anotherphase@thetechedge.ai)

Related Materials

• Multiple vulnerabilities in n8n ≤ 0.215.2 - Synacktiv, 2023년 (CVE-2023-27563 포함 3개 중대 취약점 상세 PoC와 함께, 인증 우회·데이터베이스 다운로드·비밀키 추출·관리자 권한 획득 공격 체인 분석)
• Privilege Escalation in n8n | CVE-2023-27563 - Snyk, 2023년 (인증된 사용자가 임의 워크플로 실행으로 관리자 권한 획득, 데이터 노출·수정·서비스 거부 공격이 가능한 CVSS 8.3 취약점 상세 설명)
• Critical n8n Flaw (CVSS 9.9) Enables Arbitrary Code Execution - The Hacker News, 2025년 (CVE-2025-68613, 인증 사용자 임의 코드 실행 취약점으로 57,000주 다운로드 패키지 영향, 1.120.4 이후 패치 권장)
• Ni8mare flaw gives unauthenticated control of n8n instances - Security Affairs, 2026년 (CVE-2026-21858, CVSS 10.0 인증 우회 RCE로 파일 읽기·관리자 세션 위조·명령 실행 체인 분석)

파이선 리포지터리 PyPI에서 고급 악성 패키지 발견돼

💡Editor’s Pick - soopsocks라는 악성 패키지, 2600번 다운로드 돼 - SOCKS5 프록시 생성 후 여러 악성행위 실시 - 공공 리포지터리의 안전한 활용 위한 대책 도입 시급 파이선 생태계의 코드 리포지터리인 PyPI에서 악성코드가 유포되고 있다는 사실이 발견됐다. 이번 악성 패키지는 일종의 백도어 기능을 가지고 있다고 한다. SOCKS5 프록시 서비스를 생성하고, 추가

The Tech Edge문가용 기자

인공지능 때문에 늘어나는 자동화 트래픽, 보안 사고의 씨앗

💡Editor’s Pick - 자동화 트래픽 크게 늘리는 인공지능 서비스들 - 나쁜 트래픽 아니어도 ‘봇 트래픽 증가’ 만으로도 문제 - 통제 불가능한 수준이 되는 것이 불안의 근원...가시성 확보 필요 LLM이 인기를 끌면서 인공지능이 대중화 되기 시작했다. 이 때문에 봇 트래픽이 급격히 증가하는 중이다. 동시에 자동화 기술이 발전하고 광범위하게 도입되면서 자동화

The Tech Edge문가용 기자