파일 이름 검색 도구 글롭에서 고위험군 취약점 나와

개발자들이 흔히 사용하는 오픈소스 패키지인 글롭(glob)에서 위험한 취약점이 발견됐다. 일반 사용자들이 직접 사용할 일은 거의 없어 대중적으로 낯선 이름이지만, 개발자들은 이를 활용해 여러 가지 도구와 서비스를 만들어내 일반인들에게 제공한다. 즉, 이번 취약점은 개발자들이 가장 먼저 유의해야 하는 것이 맞지만, 일반 사용자들 역시 그 영향력에서 벗어나기 힘들다는 뜻이다.

글롭이란

글롭은 특정 패턴을 이용해 파일 시스템에서 파일이나 디렉터리를 검색하는 기술이며, 이런 기능을 발휘하는 라이브러리도 글롭이라고 불린다. 개발 과정 중에 특정 종류의 파일을 검색할 일은 수도 없이 많기에, 글롭은 거의 모든 개발 환경에서 사용된다고 볼 수 있다. 빌드 도구, 번들러, 테스트 러너 등 여러 종류의 도구들만이 아니라 각종 운영체제에서 제공하는 셸(배시나 Zsh 등)에도 글롭이 적용돼 있다.

정규표현식(RegExp)이라는 것이 있다. 글롭과 마찬가지로 문자열을 패턴에 따라 찾아내는 방법 중 하나다. 문자열을 찾는 것이기 때문에 글롭과 비슷하지만, 글롭은 일종의 라이브러리이고 정규표현식은 컴퓨터들에 기본적으로 탑재되어 있다시피 한 ‘표현 문법’이라 서로의 성질은 완전히 다르다. 다만 ‘파일 이름을 포함한 문자열을 찾아준다’는 ‘기능성’에 있어서는 같기 때문에 상호 비교되기도 한다. 

정규표현식이 있는데 왜 굳이 글롭을 만들어 오픈소스 형태로 퍼트렸을까? 정규표현식이 훨씬 사용하기 어렵기 때문이다. 글롭은 ‘파일 시스템 안에서만’ 작동하여 파일과 폴더 이름을 찾는 데 특화돼 있고, 정규표현식은 문자열이 존재하는 모든 곳에 적용 가능하여 생기는 차이다. 정규표현식은 더 유연한 대신 더 광범위하고, 글롭은 더 편리한 대신 활용 범위가 좁다. 개발자들의 경우 모든 텍스트로부터 특정 문자열을 찾을 때도 있지만, 사실 파일 시스템 내에 저장된 파일이나 폴더의 이름을 필요로 할 때가 더 많기 때문에 난이도 있는 정규표현식보다 글롭을 선호하는 편이다.

어떤 취약점 나왔나?

이런 글롭에서 최근 발견된 취약점은 CVE-2025-64756이다. 글롭의 명령행 인터페이스(CLI)에서 발견된 것으로, 아일(AISLE)이라는 보안 기업의 연구원들이 처음 발견했다. CVSS 기준 7.5점인 고위험군 취약점이다. 익스플로잇에 성공하면 원격과 로컬에서 임의 명령을 주입할 수 있다. CWE 시스템으로는 CWE-78에 해당한다. 

아일의 설명에 따르면 문제가 발생하는 건 글롭 명령행 인터페이스의 -c와 –cmd 옵션이 작동하는 방식 때문이라고 한다. “-c와 –cmd는 각 매칭 파일에 대해 사용자가 입력한 명령을 실행하는 옵션입니다. 파일 이름에 셸 명령이 삽입된 상태에서 이 옵션을 실행시키면 셸 코드가 실행되는 결과를 낳습니다. 즉 파일 이름 자체가 공격 도구가 된다는 의미입니다.” 아일 측의 설명이다.

그렇기 때문에 모든 종류의 글롭에서 나타나는 취약점이 아니라는 걸 알 수 있다. “명령행 인터페이스를 탑재하고 있는 버전들을 사용할 때만 주의하면 됩니다. 주로 10.3.7~11.0.3 버전들로 파악됩니다. 이 버전들을 사용하고 있었다면 10.5.0과 11.1.0 등 패치된 버전으로의 업데이트가 요구됩니다.”

패치가 불가한 경우 glob -c나 glob –cmd 사용을 중단해야 한다. 만약 이러한 명령이 삽입된 스크립트를 사용하고 있다면 이를 확인하여 해당 스크립트를 비활성화 하고, 패키지를 재빌드 한 후 배포해야 한다. “일단 취약점을 찾아내는 것이 먼저인데, 이 경우 npm audit이나 SCA 등으로 취약 패키지 존재 여부를 스캔 및 확인하는 걸 권합니다. 수많은 도구들과 글롭이 연결돼 있기 때문에 적잖이 발견될 것이라고 봅니다.”

조심해야 할 사람들

이번 글롭 사태에 대해서 일반 인터넷 사용자들이 주의해야 할 건 거의 없다. 하지만 개발과 CI/CD 파이프라인을 구축하고 있으며, 자동화 빌드 스크립트를 적극 활용하는 기업이라면 소프트웨어 개발사나 IT에 특화된 곳이 아니라 하더라도 유의해야 한다.

“패치가 가장 좋은 해결책입니다만, 여의치 않을 땐 NPM 리포지터리에서 어떤 패키지를 가져다 썼는지, 해당 패키지들에 글롭 명령행 인터페이스가 구현돼 있는지, CI/CD 파이프라인에서 glob -c를 사용하는 스크립트가 있는지 즉시 확인해야 합니다. 그 외에 도커 이미지나 자동화 서버에서 외부 파일을 처리할 때 어떤 파일 이름들이 사용되고 있는지 전수 조사하는 것도 좋은 방법입니다.” 🆃🆃🅔

by 문가용 기자(anotherphase@thetechedge.ai)

Related Materials

• Glob CLI CVE-2025-64756 Command Injection Summary, ZeroPath, 2024년
• CVE-2025-64756: Node-glob CLI Command Injection Vulnerability, CVETodo, 2024년
• How AISLE's Analyzer Found Command Injection in glob's CLI, AISLE, 2024년
• glob CLI: Command Injection via -c/--cmd Executes Arbitrary Commands, GitHub Security Advisories, 2024년

OWASP Top 10 2025, A1: Broken Access Control ‘확장된 접근제어’

💡Editor Pick - OWASP Top10 2025 RC의 A1 변화 분석 - OWASP Top10 카테고리 세부 항목을 이해할 필요가 있음 - OWASp Top10 2025 RC A1에서는 접근 제어 개념 확장성 제시 OWASP가 발표한 Top 10 2025에서 A1 항목인 Broken Access Control은 이전과 동일하게 가장 심각한 웹 애플리케이션 보안 위험으로 분류되었다. 그러나

The Tech EdgeDonghwi Shin

OWASP Top10 2025 RC: 최신 웹 애플리케이션 보안 전망과 주요 변화

OWASP Top10 2025의 RC(Release Candidate) 버전이 공개되었다. 이번 2025년판은 이전 에디션과 달리, 두 가지 새로운 카테고리가 추가되고 기존 항목이 통합되는 등의 구조적인 변화를 보여 준다. 이번 2025 RC는 OWASP Top10의 8번째 개정판으로, 데이터 기반 위험 분석을 한층 강화하는 동시에 기존 버전에서 제기된 여러 한계점을 보완하려는 시도가 돋보인다. 이번 기사는

The Tech EdgeDonghwi Shin