CVE-2026-49975(HTTP/2 폭탄)이란 무엇인가요?

10년 된 HTTP/2 취약점 두 개가 결합된 원격 서비스 거부 공격입니다. HPACK 헤더 압축과 흐름 제어의 상호작용을 이용해 인증 없이 노트북 하나로 20초 만에 서버 RAM 32GB를 고갈시킬 수 있습니다.

왜 이 발견이 보안 업계의 전환점으로 평가되나요?

봇넷이나 자격증명 없이 주요 웹 서버 5개를 마비시킬 수 있습니다. 특히 AI가 코드베이스를 분석해 두 악성 동작의 결합을 발견했다는 점이 핵심으로, AI 기반 코드 검토가 복잡한 조합 취약점 탐지에서 인간 전문가를 능가하기 시작했음을 보여줍니다.

조직은 지금 당장 어떤 조치에 집중해야 하나요?

즉시 패치 적용 및 서버 설정 강화(최대 헤더 수 제한, HPACK 테이블 크기 축소, 흐름 제어 최적화)가 필요합니다. 전통적인 규칙 기반 WAF에서 행위 분석형으로 전환하고, AI가 생성하는 새로운 공격 조합에 대비하는 장기 전략을 수립해야 합니다.

HTTP/2 폭탄(CVE-2026-49975): HPACK + 흐름 제어 DoS 공격 및 패치 방법

각각 10년간 공개돼 온 두 가지 결함이 조합되어 기본 설정 상태에서 주요 웹 서버 5개를 마비시키는 원원 원격 서비스 거부 공격으로 변모했습니다. 가정용 100Mbps 회선에 연결된 단일 클라이언트에서 약 20초 만에 약 32GB의 램을 점유할 수 있습니다. 봇넷도, 자격증명도 필요 없습니다. 노트북 한 대면 됩니다. 흥미로운 점은 공격 사슬 자체가 아니라, AI가 코드베이스를 분석해 두 가지 알려진 악성 동작이 결합된다는 것을 발견했다는 점이며, 이는 공공 인프라 취약점 발견이 점점 AI 기반 코드 검토에 의존하고 있음을 보여줍니다.

배경

최근 보안 커뮤니티에 공개된 CVE-2026-49975는 'HTTP/2 폭탄'이라는 별명으로 불리며, 기존 프로토콜의 취약점이 어떻게 치명적인 공격으로 전환될 수 있는지를 보여주는 사례입니다. 이 결함은 완전히 새로운 제로데이 공격 기술에서 비롯된 것이 아니라, HTTP/2 사양에 약 10년 동안 존재해 온 두 가지 서로 다른 결함이 시너지를 일으키며 발생했습니다. 핵심 문제는 HPACK 헤더 압축 알고리즘과 프로토콜의 흐름 제어(Flow Control) 메커니즘 사이의 복잡한 상호작용에 있습니다. HPACK은 대역폭을 최적화하기 위해 HTTP 헤더를 압축하고, 동적 테이블을 사용하여 자주 사용되는 헤더 필드를 저장합니다. 그러나 이 동적 테이블 관리와 WINDOW_UPDATE 프레임을 통해 데이터 전송을 규제하는 흐름 제어 시스템 사이에는 치명적인 상태 기계 결함이 존재합니다.

이 결함의 실제 영향은 즉각적이고 심각합니다. 가정용 100Mbps 광대역에 연결된 일반 노트북 하나만으로도 공격자는 표적 서버가 단 20초 만에 약 32GB의 램을 할당하고 잠그도록 강요할 수 있는 원격 서비스 거부(DoS) 공격을 실행할 수 있습니다. 이 공격에는 인증 자격 증명이 필요 없으며, 대규모 봇넷의 조정도 필요하지 않아 다양한 위협 행위자에게 접근 가능하게 만듭니다. 이 취약점은 기본 구성 상태에서 가장 널리 배포된 다섯 가지 웹 서버, 즉 Nginx, Apache, Caddy, Lighttpd 및 Microsoft IIS에 영향을 미칩니다. 이러한 서버는 엄격한 제한 없이 표준 HTTP/2 트래픽을 수락하도록 구성되어 있어, 특정 일련의 조종된 HTTP/2 프레임에 대해 본질적으로 취약합니다.

이 사건의 타임라인은 보안 커뮤니티의 신속한 대응과 레거시 인프라와 관련된 지속적인 위험을 모두 보여줍니다. CVE-2026-49975에 대한 패치는 2026년 6월 초에 출시되어 공개에 대한 빠른 반응을 보여주었습니다. 그러나 전 세계 HTTP/2 배포의 방대한 규모로 인해 많은 서버가 아직 패치되지 않은 상태입니다. 이 취약점은 단순한 구현 버그가 아닌 HTTP/2 프로토콜의 근본적인 설계 측면을 이용하므로, 완화 노력이 복잡해집니다. 이러한 웹 서버에 의존하는 조직은 이 위협이 이론적인 것이 아니라 중요한 온라인 서비스를 방해할 수 있는 기능적이고 장벽이 낮은 공격 벡터임을 인식해야 합니다.

심층 분석

CVE-2026-49975의 기술적 메커니즘은 HPACK 동적 테이블을 위해 할당된 메모리의 수명 주기를 표적으로 삼는 HTTP/2 상태 기계의 정확한 조작에 중점을 둡니다. 서버가 HEADERS 프레임을 수신하면 HPACK 알고리즘을 사용하여 헤더를 디코딩해야 합니다. 이 과정에는 동적 테이블을 업데이트하는 작업이 포함되며, 이는 메모리 할당을 필요로 합니다. 일반적으로 흐름 제어 메커니즘은 비행 중 데이터의 양을 제한하여 송신자가 수신자를 압도하지 않도록 보장합니다. 그러나 취약점은 동적 테이블의 빈번한 업데이트를 트리거하면서 동시에 WINDOW_UPDATE 프레임 처리 방식의 구멍을 이용하는 특정 HEADERS 프레임 시퀀스에서 발생합니다.

공격자는 서버가 각 업데이트를 위해 새 메모리 블록을 할당하도록 동적 테이블을 지속적으로 확장시키는 프레임을 조종합니다. 결정적으로, 흐름 제어 창은 서버가 이러한 메모리 블록이 더 이상 필요하지 않거나 시스템 풀로 반납해야 한다는 것을 인식하지 못하도록, 또는 이를 해제하지 못하도록 조작됩니다. 이로 인해 메모리 할당이 사실상 단방향으로 작동합니다. 서버는 동적 테이블 항목을 위해 메모리를 계속 할당하지만, 흐름 제어 메커니즘은 이러한 자원의 필요한 정리나 재활성을 트리거하지 못합니다. 서버의 내부 상태 기계는 데이터가 소비되고 있거나 창 크기 조정이 결국 적절한 자원 해제를 허용할 것이라고 잘못 가정합니다.

사실상 메모리 블록은 잠긴 상태로 남아 메모리 사용량이 지수함수적으로 증가합니다. 이 동작은 프로토콜의 핵심 기능에 대한 논리적 오류에 의존하는 것이 아니라, 자원 수명 관리의 경계 조건에서 비롯되므로 특히 교활합니다. 속도 제한이나 간단한 패킷 필터링과 같은 전통적인 방어 수단은 트래픽이 합법적인 HTTP/2 상호작용으로 보이기 때문에 효과가 없습니다. 공격자는 원래 설계자가 예상하지 못한 방식으로 프로토콜의 의도된 기능을 남용하고 있으며, 이는 깊은 프로토콜 검사 없이는 탐지하고 방지하는 것을 극도로 어렵게 만듭니다.

산업 영향

CVE-2026-49975의 공개는 웹 인프라 보안 영역에서 사이버 보안 산업에 깊은 영향을 미칩니다. 서명 기반 감지나 간단한 트래픽 패턴 분석에 의존하는 전통적인 웹 응용 프로그램 방화벽(WAF)은 이 공격에 대해 주로 효과가 없습니다. 악성 트래픽이 HTTP/2 프로토콜 사양을 준수하기 때문에 표준 이상 감지 규칙을 트리거하지 않기 때문입니다. 보안 팀은 이제 심층 패킷 검사 및 프로토콜 상태 기계 검증을 포함하는 더 정교한 감지 방법을 채택해야 합니다. 이는 조직이 간단한 서명 매칭에서 행동 분석으로 이동함에 따라 새로운 기술과 전문성에 대한 상당한 투자가 필요함을 의미합니다.

웹 서버 벤더와 오픈 소스 유지 관리자에게 이 사건은 개발 및 배포 단계에서 보안이 어떻게 우선순위화되는지에 대한 중요한 경각심을 불러일으킵니다. 다섯 가지 주요 서버가 기본 설정에서 취약했다는 사실은 보안이 우선시되는 방식에 대한 체계적인 문제를 나타냅니다. 벤더들은 이제 패치뿐만 아니라 이러한 위험을 완화하기 위한 구성 강화 가이드라인을 제공하는 압력을 받고 있습니다. 여기에는 연결당 최대 헤더 수 제한, HPACK 동적 테이블 크기 축소 및 엄격한 흐름 제어 정책 구현이 포함됩니다. 이 사건은 보안 시장의 경쟁 구도에도 영향을 미칩니다. 자동화된 패칭 도구와 고급 프로토콜 분석 기능을 제공할 수 있는 기업은 시장 신뢰도와 채택 측면에서 상당한 이점을 얻을 가능성이 높습니다.

이 취약점의 광범위한 영향력은 대형 클라우드 서비스 제공업체부터 소규모 독립 개발자에 이르기까지 다양한 조직에 영향을 미칩니다. 이러한 보편성은 신속하고 효과적인 패치 배포 메커니즘의 긴급한 필요성을 강조합니다. 패치 지연은 패치되지 않은 서버가 악용에 취약한 상태로 남아 있기 때문에 심각한 결과를 초래할 수 있습니다. 이 사건은 또한 HTTP/2와 같은 기반 프로토콜의 장기적인 보안에 대한 우려를 제기했습니다. 더 많은 서비스가 HTTP/2로 마이그레이션함에 따라 유사한 취약점이 발견되고 악용될 위험이 증가합니다. 이는 프로토콜 보안 검토에 대한 강조와 프로토콜 설계의 초기 단계에 보안 고려사항을 통합하는 방향으로 이어졌습니다.

전망

CVE-2026-49975 사건의 가장 중요한 측면은 공격의 기술적 세부 사항이 아니라 그것이 발견된 방법입니다. 이 취약점은 영향을 받는 웹 서버의 코드베이스를 분석하고 두 가지 알려진 별개의 행동이 결합되어 새로운 심각한 위협을 생성할 수 있음을 인식한 AI 도구에 의해 식별되었습니다. 이는 보안 연구의 진화에서 전환점을 표시하며, AI 기반 코드 검토가 전통적인 수동 감사보다 복잡하고 다단계인 취약점을 감지하는 능력에서 앞섰음을 보여줍니다. AI 시스템은 방대한 양의 코드를 처리하고 인간 분석가가 간과할 수 있는 서로 다른 구성 요소 사이의 미묘한 상호작용을 식별할 수 있습니다.

그러나 보안에서의 AI 부상은 새로운 도전 과제를 제시합니다. 방어자가 취약점을 찾기 위해 AI를 활용하는 것처럼 공격자도 익스플로잇 체인의 자동화된 발견을 위해 유사한 도구를 사용할 수 있습니다. AI 기반 방어와 AI 기반 공격 사이의 이 군비 경쟁은 더 많은 정교한 공격의 빈도 증가로 이어질 가능성이 높습니다. 이에 대응하기 위해 산업은 견고한 AI 지원 보안 개발 수명 주기(SDL)를 개발해야 합니다. 여기에는 코드 검토에 AI를 사용하는 것뿐만 아니라 소프트웨어 및 프로토콜의 설계 단계에 형식적 검증과 적대적 테스트를 통합하는 것이 포함됩니다. 프로토콜이 처음부터 보안을 염두에 두고 설계되도록 보장함으로써 조직은 이러한 취약점이 처음부터 도입될 가능성을 줄일 수 있습니다.

앞으로 AI 기반 보안으로의 추세는 불가역적입니다. 조직은 emerging threats ahead에 있기 위해 AI 기반 도구와 훈련에 투자해야 합니다. 여기에는 자동화된 패치 관리 시스템 채택, 고급 프로토콜 분석 도구 구현 및 지속적인 보안 개선 문화 조성이 포함됩니다. 이 사건은 또한 위협 인텔리전스와 모범 사례를 공유하기 위해 공공 및 민간 부문 간의 더 큰 협력의 필요성을 강조합니다. 함께 작업함으로써 산업은 진화하는 사이버 위협의 변화하는 풍경에 견딜 수 있는 더 탄력적이고 안전한 디지털 인프라를 구축할 수 있습니다. HTTP/2 폭탄은 레거시 프로토콜도 상당한 위험을 초래할 수 있으며, AI의 보안 관행 통합이 더 이상 선택 사항이 아닌 글로벌 디지털 서비스의 무결성을 유지하는 데 필수적임을 상기시켜 줍니다.