CVE-2026-34040, 인증 플러그인의 검증 로직 무력화

[보안뉴스 김형근 기자] 도커 엔진(Docker Engine)에서 인증 플러그인을 무력화하고 호스트 시스템 권한을 완벽하게 훔쳐 가는 고위험군(CVSS 8.8) 취약점이 공개됐다.


[출처: gettyimagesbank]

사이메라 리서치 랩(Cyera Research Labs)의 블라디미르 토카레프(Vladimir Tokarev)를 비롯한 보안 연구원들이 공동으로 발견한 이 취약점은 인증 플러그인의 검증 로직을 무력화한다.

‘CVE-2026-34040’으로 명명된 이 결함은 2024년에 발견된 중대 취약점을 완벽하게 수정하지 못해 다시 발생한 재발 사고다.

해커는 특수하게 제작된 HTTP 요청을 보내 도커 데몬이 본문을 빼고 인증 플러그인에 전달하도록 유도하는 기만 전술을 쓴다. 특히 1MB 이상의 데이터를 덧붙이는 패딩 수법을 쓰면, 인증 플러그인은 차단할 내용을 보지 못해 공격을 전부 통과시킨다.

이후 공격자는 호스트의 루트 권한을 가진 컨테이너를 생성해 시스템 내부의 모든 파일을 속속들이 들여다볼 수 있다. 여기에는 AWS 인증 정보, SSH 키, 쿠버네티스(K8s) 설정 등 기업의 생존이 걸린 중요한 자산들이 모두 포함돼 있다.

더욱 심각한 점은 오픈클로(OpenClaw) 같은 AI 코딩 에이전트가 이 취약점을 스스로 학습해 공격을 실행할 수 있다는 사실이다. AI 에이전트는 오류를 수정하는 과정에서 도커 API 문서를 읽고, 스스로 패딩된 요청을 만들어 인증 장벽을 무너뜨린다.

도커 측은 이 문제를 해결하기 위해 엔진 버전을 29.3.1로 즉시 업데이트할 것을 강력히 권고하고 있다. 침해가 발생했을 경우 도커를 일반 사용자 권한으로 구동하는 루트리스(Rootless) 모드를 적용해 피해 범위를 최소화해야 한다.

도커 취약점의 재발은 보안 패치의 불완전함이 불러온 중대한 보안 경계의 해이를 보여준다. 특히 AI 에이전트가 스스로 취약점을 분석해 공격을 감행할 수 있다는 점에서 보안 담당자는 엄격한 권한 통제와 즉각적인 패치를 진행해야 한다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>