유명 오픈소스 플루언트비트서 취약점 다량 발견돼
- 컨테이너 및 클라우드 환경서 널리 사용되는 오픈소스
- 발견된 취약점은 5개, 8년 방치된 것도 있어
- 오픈소스 생태계가 가진 태생적 위험성 인지해야
컨테이너 기술이 확장되면서 높은 인기를 구가하고 있는 오픈소스인 플루언트비트(Fluent Bit)에서 위험한 취약점이 다량으로 발견돼 개발자들 사이에서 주의가 요구되고 있다. 이 취약점들을 익스플로잇 하는 데 성공할 경우 공격자는 클라우드 서비스에 혼선을 가져오거나, 데이터를 조작 및 탈취할 수 있게 된다. 취약점 중 일부는 무려 8년이나 방치된 채 있었다고도 한다. 이 때문에 패치 적용 이상의 조치가 필요한 상황이다.
플루언트비트란?
플루언트비트는 클라우드와 컨테이너 환경에서 사실상 표준처럼 사용되는 오픈소스 프로그램이다. 로그를 비롯해 각종 데이터를 수집하고 처리하고 전송하는 기능을 가지고 있다. 가볍고 빠르기 때문에 컴퓨팅 자원에 대한 소모도 적어 대규모 컨테이너 환경에서 선호된다. 비슷한 기능을 가진 오픈소스 요소로 플루언트디(Fluentd)가 있는데, ‘경량’이라는 점에서 플루언트비트가 압도적이다.
다양한 환경에서 실행된다는 것도 플루언트비트의 특장점이다. 쿠버네티스, 도커, 가상기계, 베어메탈, 클라우드 등 가릴 것 없이 호환된다. 가볍고 호환성 뛰어난 데이터 교류 장치이니, 개발자들이 그냥 놔두지 않는다. 현재 수십억 개의 컨테이너에 이미 내장돼 있고, 150억 번 이상 배포되었으며, 지난 한 주에만 400만 회 이상 다운로드 됐다. 우리의 사이버 공간에 이미 편만하게 존재하고 있다고 봐도 무방하다.
무슨 의미일까? 우리도 모르게 이 플루언트비트를 사용하고 있다는 것이다. 인공지능 연구소, 은행, 자동차 제조사, AWS, 구글클라우드, 마이크로소프트 애저 등에서 플루언트비트가 구성 요소로서 활용되고 있다. 보안 기업 올리고시큐리티(Oligo Security)에 의하면 “굉장한 신뢰를 받고 있는 소프트웨어”라고 한다. “이렇게 높은 신뢰도를 자랑하는 요소에서 구멍이 발견되면, 사이버 공간 전체에 크나큰 영향을 미치게 됩니다. 이번 플루언트비트 사태가 우려되는 것도 바로 그런 점에서입니다.”
발견된 취약점은 5개
올리고 측에서 발견해 플루언트비트 개발사 측에 알린 취약점은 총 5개로, 다음과 같다.
1) CVE-2025-12972 : 정제되지 않은 태그 값이 출력 파일 이름 생성에 사용되어 공격자가 “../”와 같은 경로 탐색 문자열을 삽입해 디스크의 임의 파일을 쓰거나 덮어쓸 수 있게 하며, 로그 변조와 구성에 따라 원격 코드 실행을 가능하게 한다.
2) CVE-2025-12970 : 도커인풋(Docker input)에서의 스택 버퍼 오버플로우로 인해, 공격자가 지나치게 긴 이름의 컨테이너를 생성하여 에이전트를 충돌시키거나 코드를 실행할 수 있게 된다.
3) CVE-2025-12978 : 플루언트비트의 태그 매칭 로직의 결함으로 인해 공격자는 태그키(Tag_Key)의 첫 문자만 맞춰도 신뢰된 태그를 스푸핑해 로그 라우팅을 탈취하고, 필터링을 우회하며, 악성 데이터를 삽입할 수 있다.
4) CVE-2025-12977 : 사용자 제어 필드에서 파생된 태그가 정제 과정을 우회하여, 공격자가 임의 문자, 탐색 문자열, 제어 문자를 주입해 다운스트림 로그를 손상시키거나 더 넓은 출력 기반 공격을 가능하게 한다.
5) CVE-2025-12969 : ‘안전 사용자(Security.Users)’가 설정된 플루언트비트 포워더(forwarder)가 조용히 인증을 비활성화하여, 원격 공격자가 인증 없이 로그를 전송하거나 가짜 텔레메트리를 주입하거나 시스템을 과부하 상태로 만들 수 있게 한다.
이 취약점들을 단독적으로나 연쇄적으로 익스플로잇 하는 데 성공한 공격자들은 경로 조작, 원격 코드 실행, 디도스 공격 등을 할 수 있게 된다. 태그 조작도 가능하다. “플루언트비트가 클라우드와 컨테이너 환경에서 널리 사용된다는 것까지 감안해서 생각하면, 공격자들이 할 수 있는 일을 구체적으로 알 수 있습니다. 클라우드 서비스를 마비시키고, 데이터를 변조하고, 클라우드나 컨테이너 인프라 속으로 깊이 침투할 수 있게 됩니다.”
8년 넘게 방치된 취약점
이 취약점 중 CVE-2025-12972는 8년 넘게 존재해 왔었던 것으로 분석됐다. 이것은 특정 개발 인력이나 단체가 게을렀다거나 해이해서 나타난 결과가 아니다. 오히려 플루언트비트가 오픈소스라 생긴 문제라고 할 수 있다.
오픈소스의 프로그램의 특징은 누구나 무료로(혹은 그에 준하는 저렴한 가격으로) 쓸 수 있다는 것이다. 이것은 비용의 측면에서는 장점이지만, 유지 관리 측면에서는 단점이다. 사용자가 비용을 내지 않는다는 것은, 프로그램 개발자나 유지 관리 책임자에게 많은 책임을 부여하기 힘들다는 걸 뜻한다. 오픈소스이기 때문에 생겨나는 태생적 구조다. 그래서 오픈소스를 사용하는 사람들 누구나 문제를 발견해 제보할 수 있고, 안전한 사용법을 제안할 수도 있다. 그러면 개발자나 유지 관리 책임자가 이를 참고해 ‘시간과 여유가 될 때’ 문제를 해결한다.
이러한 오픈소스의 특성은 두 번째 ‘태생적 문제’를 야기하기도 한다. 비용이 없으니 누구나 사용한다는 건, 사용자가 매우 많아진다는 걸 의미한다. 실제로 오픈소스는 사이버 공간 어디에나 존재한다. 사용자가 많다는 건, 이를 악용할 목적으로 연구하거나, 위험한 방법으로 사용하거나, 취약점 패치를 하지도 않은 채 이용하는 사람도 많다는 의미가 된다. 위험 요인은 많은데 책임지고 유지 관리할 사람은 부족하다는 것으로, 이는 모든 오픈소스가 내포하고 있는 위험성이다.
오픈소스가 가진 태생적 위험성을 정리하자면 다음과 같다.
1) 유지와 관리를 책임지는 사람들이 대부분 자원봉사자이며, 따라서 늘 인력이 부족하다.
2) 그렇기에 취약점 제보를 위한 공식 채널이 없는 경우가 많고, 있더라도 처리 속도가 느리다.
3) 오픈소스에서 발견된 취약점의 경우, 특정 기업의 제품에서 발견된 게 아니기 때문에 CVE 번호 발급 자체가 매우 느리다.
이런 상황이기 때문에 오픈소스를 안전하게 관리하려면 여러 가지가 동시에 맞물려야만 한다. 사용자나 관리자가 ‘매의 눈’을 항상 유지해 취약점을 찾아내야 하고, 찾아낸 것으로 개발자 등 수정 가능한 사람에게 알려야 하며, 제보 받은 측에서는 이를 제시간에 수정해야 한다. 그리고 그것을 사용자들이 일괄적으로 받아 적용해야 한다.
완화 대책
플루언트비트를 안전하게 사용하려면 제일 먼저 플루언트비트를 최신 버전으로 업데이트 해야 한다. 4.1.1 및 4.0.12 이상 버전들이 안전한 것으로 알려져 있다. 즉각적 업데이트가 불가하다면 동적 태그 사용을 자제하고, 파일 아웃풋(file output) 옵션에서 파일(File)이나 패스(Path) 값을 고정값으로 설정하는 게 안전하다. 구성 파일을 읽기 전용(Read-only) 상태로 마운트 하는 것도 중요하다.
오픈소스는 접근성이나 진입장벽의 측면에서 보자면 매우 친절하며, 현대 소프트웨어 생태계에서 뗄 수 없는 존재가 됐다. 하지만 보안 측면에서는 아직도 불안한 구석이 많으며, 따라서 안전한 사용법이 개발자들 사이에서 널리 전파되어야 한다.🆃🆃🅔
by 문가용 기자(anotherphase@thetechedge.ai)
Related Materials
- Attacking Cloud Services via Logging Endpoints: Fluent Bit “Linguistic Lumberjack” (CVE-2024-4323), Tenable Research, 2024년 [1]
- Critical Vulnerability in Fluent Bit (CVE-2024-4323) Used by Major Cloud Providers, Quorum Cyber, 2024년 [2]
- Fluent Bit Denial of Service Vulnerabilities (CVE-2024-50608 & CVE-2024-50609), Qualys ThreatProtect, 2024년 [3][4]
- Open Security Vulnerabilities on the Latest Fluent Bit Version, GitHub Issue #8117, 2023년 [5]
Donghwi Shin
Donghwi Shin
