패치 없는 긴급 경고: Gogs에서 발견된 치명적 RCE 제로데이, 서버가 뚫린다

공격 세부 사항 요약:

• 필요 접근 권한: 표준 인증된 사용자 계정이면 충분합니다. 관리자 권한은 필요하지 않습니다 .
• 공격 경로: 악의적인 브랜치 명이 포함된 특수 제작된 풀 리퀘스트입니다 .
• 페이로드: 공격자는 --exec 플래그와 함께 원하는 셸 명령을 주입합니다 .
• 영향받는 버전: 최신 릴리스인 Gogs 0.14.2 및 0.15.0+dev 버전이 취약한 것으로 확인되었습니다 .
• 상태: 패치되지 않음. 2026년 5월 27일 공개 시점 기준으로 이 취약점에는 CVE 식별자가 없습니다 .

이 취약점을 발견한 Rapid7 Labs의 보안 연구원 조나 버지스는 그 메커니즘을 단도직입적으로 설명했습니다. "이 취약점은 인증된 사용자가 --exec 플래그를

git rebase

예견된 위기: 유지보수자의 무대응 패턴

Gogs 프로젝트를 지켜봐 온 사람들에게 이번 치명적인 패치되지 않은 제로데이는 놀라운 일이 아닙니다. 이는 프로젝트의 실질적인 유일한 유지보수자가 보안 보고에 침묵으로 일관해 온 수년간의 패턴 중 가장 최신이며 가장 심각한 사례일 뿐입니다.
이 무관심의 타임라인은 여러 독립적인 연구팀에 의해 잘 문서화되어 있습니다.

• 2024년 7월 (SonarSource): 연구원들은 Gogs에서 4개의 패치되지 않은 취약점을 공개했습니다. 여기에는 여러 인자 주입 버그와 내부 파일 삭제 결함이 포함되었으며, 모두 CVSS 9.9점의 치명적인 점수를 기록했습니다. 유지보수자에게 보고했지만, 처음에는 수락했으나 이후 연락이 두절되었고 패치는 끝내 만들어지지 않았습니다 .
• 2024년 11월 (독립 연구원): 심볼릭 링크 탐색을 통한 별도의 패치되지 않은 RCE(CVE-2024-44625)가 보고되었지만 완전히 무시되었습니다. 이는 SonarSource의 경험을 그대로 반복하는 사례였습니다 .
• 2025년 12월 (Wiz Research): 제로데이 경로 탐색 버그(CVE-2025-8110)가 실제 환경에서 활발히 악용되고 있는 것이 발견되었습니다. 이로 인해 700개 이상의 인터넷 연결 서버가 침해되었고, 미국 사이버보안 및 인프라 보안국(CISA)이 이를 알려진 악용 취약점(KEV) 카탈로그에 추가하는 긴급 경고로 이어졌습니다 .
• 2026년 5월 (NVD/SentinelOne): Gogs의 릴리스 삭제 기능에서 발견된 새로운 명령어 주입 버그(CVE-2026-26194)가 등록되어, 코드베이스 내 Git 옵션 주입 문제 목록에 또 하나의 항목이 추가되었습니다 .

이러한 역사는 이번 Rapid7의 공개를 단순한 보안 권고 이상으로 만들었습니다. 한 업계 매체는 이 상황을, 오픈소스 프로젝트가 응답하지 않는 단독 유지보수자에 의존할 때 "오픈소스 프로젝트의 한계를 상기시키는 사례"라고 표현했습니다 . 효과적인 다중 이해관계자 거버넌스가 부재하면, 널리 사용되는 중요 인프라가 영구적인 위험 요소가 될 수 있습니다.

지금 당장 Gogs 서버를 보호하는 방법

소프트웨어 패치를 사용할 수 없기 때문에, 관리자는 설정 변경과 네트워크 수준의 제어를 통해 공격 경로를 무력화해야 합니다. 다음 단계는 즉각적인 위협을 차단하고 공격 표면을 줄여줍니다.

1. ‘Rebase before merging’ 옵션을 즉시 비활성화하세요
이것이 가장 효과적인 단일 완화 조치입니다. 전체 공격 체인은 이 특정 머지 스타일에 의존합니다. 저장소 또는 인스턴스 전체 설정을 "Merge commit" 또는 "Squash"로 변경하면 취약한 코드 경로가 완전히 제거됩니다 .

2. 네트워크 접근 제한하기
이 공격은 풀 리퀘스트를 생성하기 위해 인증된 HTTP 접근이 필요합니다. Gogs 서버가 공개될 필요가 없다면, 신뢰된 내부 사용자만 접근할 수 있는 VPN 또는 방화벽 뒤로 이동하세요. 이렇게 하면 대규모 인터넷 스캐너나 일회성 공격자로부터 플랫폼을 숨길 수 있습니다.

3. 사용자 등록 및 권한 강화하기
인증된 사용자라면 누구나 이 취약점을 악용할 수 있으므로, 서버의 계정 수를 최소화하는 것이 핵심 방어책입니다. 자체 등록을 비활성화하고 수동으로 사용자를 승인하세요. 즉시 사용자 목록을 감사하고, 오래되었거나 알 수 없는 계정을 모두 비활성화하십시오 .

4. 풀 리퀘스트에서 이상 징후 모니터링하기
의심스러운 문자가 포함된 풀 리퀘스트 브랜치 명을 공격적으로 모니터링하세요. 여기에는 이중 대시(--), 세미콜론, 백틱, 또는 exec, curl, wget과 같은 명확한 셸 명령 토큰이 포함됩니다. 비정상적인 브랜치 이름은 악용 시도의 강력한 지표입니다 .

5. 장기적인 Gogs 탈출 계획 세우기
문서화된 치명적인 취약점들이 패치되지 않는 패턴을 고려할 때, Gogs에 대한 지속적인 의존은 전략적 위험입니다. 가장 현실적인 대안은 Gogs의 커뮤니티 주도 포크인 Gitea입니다. Gitea는 강력한 다중 유지보수자 개발팀과 신속한 보안 프로세스를 갖추고 있습니다. 다른 주요 Git 서비스 플랫폼도 여러 개 있지만, 가볍고 자체 호스팅되는 특성 때문에 Gogs를 선택한 팀에게 Gitea는 단독 유지보수자 병목 현상을 제거하는, 거의 완벽한 대체품입니다 .

6. 패치 준비 (만약 나온다면)
Gogs 보안 페이지와 GitHub 릴리스를 구독하세요. 패치가 결국 배포된다면 즉시 업그레이드하십시오. 그러나 이 패턴이 반복될 것이며, 미래의 치명적인 취약점이 또다시 몇 달 동안 패치되지 않은 채 남아있을 것이라는 가정 하에 보안 태세를 계획해야 합니다.