[Security] Splunk Enterprise 인증 없이 RCE 가능 — CVE-2026-20253 CISA KEV 등재
서론
6월 18일, CISA(미국 사이버보안 및 인프라 보안국)가 Splunk Enterprise에서 발견된 치명적 취약점 CVE-2026-20253을 KEV(Known Exploited Vulnerabilities) 카탈로그에 등재했다. CVSS 기준 최고 점수인 9.8(Critical)을 받은 이 취약점은 인증 없이 원격에서 임의 코드를 실행할 수 있어 업계 전체에 비상이 걸렸다.
Splunk Enterprise는 전 세계 수천 개 기업이 사용하는 대표적인 SIEM(보안 정보 및 이벤트 관리) 플랫폼이다. 보안 운영 센터(SOC)의 심장부에 해당하는 시스템인 만큼, 이 플랫폼 자체가 공격자의 발판이 된다면 탐지 체계 전체가 무력화될 수 있다는 점에서 심각성이 크다.
CISA는 연방 민간 행정부(FCEB) 소속 기관들에게 2026년 6월 21일까지 패치 적용을 의무화했다. 보안 커뮤니티에서는 이 CVE가 Splunk 역사상 최초로 KEV 카탈로그에 오른 취약점이라는 점에서도 주목하고 있다.
본론
CVE-2026-20253 개요
CVE-2026-20253은 Splunk Enterprise의 PostgreSQL 사이드카 서비스 엔드포인트에서 인증 검사가 누락된 데서 비롯한 취약점이다. 분류 상으로는 ‘Missing Authentication for Critical Function(CWE-306)’에 해당하며, CVSS 3.1 점수는 9.8(Critical)이다.
영향 받는 버전은 다음과 같다:
- Splunk Enterprise 10.2.x: 10.2.4 미만
- Splunk Enterprise 10.0.x: 10.0.7 미만
패치된 버전으로 업그레이드하거나, 벤더가 안내한 PostgreSQL 사이드카 서비스 비활성화 임시 조치(단, 일부 기능 제한 발생)를 적용해야 한다.
기술적 분석: 왜 인증 없이 코드 실행이 되는가
이 취약점의 핵심은 Splunk Enterprise가 내부적으로 구동하는 PostgreSQL 사이드카 서비스에 있다. 해당 서비스는 파일 작업을 처리하는 엔드포인트를 네트워크에 노출하는데, 이 엔드포인트가 애플리케이션 레벨의 인증을 전혀 수행하지 않는다.
공격 체인은 크게 두 단계로 나뉜다:
1단계 — 인증 없는 파일 작업
공격자는 인증 자격 증명 없이 사이드카 서비스 엔드포인트에 직접 요청을 보낸다. 해당 엔드포인트는 요청자의 신원을 검증하지 않기 때문에, 네트워크 접근만 가능하다면 누구든 파일 생성 및 내용 덮어쓰기 요청을 처리받을 수 있다.
2단계 — PostgreSQL lo_export 함수를 이용한 RCE
공격자는 PostgreSQL의 lo_export 함수를 악용해, 이후 Splunk 서비스가 실행할 경로에 악성 스크립트를 배치한다. 서비스가 해당 경로의 스크립트를 실행하는 시점에 공격자가 원하는 코드가 Splunk 서버 권한으로 수행된다.
결과적으로 자격 증명이 전혀 없는 원격 공격자가 Splunk 서버에서 임의 코드를 실행할 수 있게 되는 구조다. 내부 방화벽 뒤에 있더라도, 내부 네트워크 접근 권한만 있으면 공격이 가능하다.
공개 및 악용 타임라인
CVE-2026-20253의 발생부터 CISA KEV 등재까지의 흐름은 다음과 같다:
| 날짜 | 이벤트 |
|---|---|
| 2026-06-10 | Splunk, 최초 보안 권고문(Advisory) 공개 |
| 2026-06-12 | 공개 PoC(개념 증명 코드) 등장 |
| 2026-06-15 | Splunk, PostgreSQL 사이드카 서비스 비활성화를 임시 완화책으로 공식 권고 |
| 2026-06-18 | Splunk, 제한적 실제 악용(in-the-wild exploitation) 사실 공식 확인 |
| 2026-06-18 | CISA, CVE-2026-20253을 KEV 카탈로그에 등재 |
| 2026-06-21 | FCEB 기관 패치 의무 기한 |
공개 PoC가 등장한 지 불과 6일 만에 실제 공격이 확인되었다는 점이 눈에 띈다. 보안 연구자들 사이에서는 “SIEM 플랫폼은 대부분의 엔터프라이즈 환경에서 민감한 로그를 모두 취합하는 위치에 있기 때문에, 이 취약점 하나로 환경 전체의 가시성을 잃을 수 있다”는 평가가 나오고 있다.
영향 범위 및 위험성 평가
Splunk Enterprise는 금융, 의료, 통신, 정부기관 등 규모 있는 조직에서 광범위하게 사용된다. SIEM이 침해당하면 다음과 같은 2차 피해로 이어질 수 있다:
- 탐지 체계 무력화: 공격자가 SIEM의 로그를 조작하거나 특정 이벤트를 억제함으로써 침해 사실 자체를 숨길 수 있다.
- 측면 이동(Lateral Movement): Splunk 서버가 이미 내부 네트워크의 많은 호스트와 연결되어 있어, 이를 발판으로 삼은 추가 공격이 용이하다.
- 민감 데이터 탈취: SIEM에 수집된 로그에는 자격 증명, API 키, 개인정보 등이 포함될 수 있다.
CISA가 KEV에 등재한다는 것은 이미 실제 공격에서 악용이 확인되었다는 의미다. 패치 적용을 미루는 것은 매우 위험한 선택이다.
완화 방안
즉시 취할 수 있는 조치는 두 가지다:
권장 조치: 패치 업그레이드
1
2
3
# 영향 받는 버전 확인 후 아래 버전으로 업그레이드
# Splunk Enterprise 10.2.x → 10.2.4 이상
# Splunk Enterprise 10.0.x → 10.0.7 이상
임시 완화: PostgreSQL 사이드카 서비스 비활성화
Splunk의 공식 권고에 따라 PostgreSQL 사이드카 서비스를 비활성화할 수 있으나, 이 경우 일부 기능에 제한이 생긴다. 패치 적용이 어려운 환경에서의 임시방편으로만 사용해야 한다.
또한, 인터넷에 직접 노출된 Splunk 서버가 있다면 즉시 방화벽 정책을 검토해 외부 접근을 제한하는 것이 필요하다.
정리
- CVE-2026-20253은 Splunk Enterprise의 PostgreSQL 사이드카 서비스에서 인증 없이 임의 코드 실행이 가능한 취약점으로, CVSS 9.8(Critical)을 받았다.
- 영향 받는 버전은 Enterprise 10.2.x < 10.2.4, 10.0.x < 10.0.7이며, 각각 10.2.4, 10.0.7로 업그레이드해야 한다.
- 공개 PoC 등장 이후 6일 만에 실제 악용이 확인되었고, CISA는 이를 KEV 카탈로그에 즉시 등재했다.
- FCEB 기관은 2026년 6월 21일까지 패치가 의무화됐으며, 모든 엔터프라이즈 환경에서 긴급 대응이 필요하다.
- 이번 취약점은 Splunk 제품이 CISA KEV에 처음 오른 사례로, 커뮤니티에서는 SIEM 플랫폼의 보안 강화에 대한 논의가 활발해지고 있다.
보안 팀 입장에서는 이 취약점을 대응하는 것을 넘어, 내부 보안 인프라 자체가 공격 대상이 될 수 있다는 점을 다시 한번 상기하는 계기로 삼아야 한다는 목소리가 높다. Splunk 서버의 네트워크 노출 범위를 최소화하고, 보안 도구 자체에도 동일한 수준의 보안 정책을 적용하는 것이 중요하다.
Reference
- CVE-2026-20253: CISA Warns of Actively Exploited Splunk Enterprise RCE — SOCRadar
- CISA: Splunk Enterprise flaw actively exploited, patch by Sunday — BleepingComputer
- Unauthenticated RCE in Splunk Enterprise under active attack (CVE-2026-20253) — Help Net Security
- CISA Issues Alert on Critical Splunk Enterprise Bug Under Active Exploitation — GBHackers
- Splunk CVE-2026-20253: Unauthenticated Remote Code Execution Vulnerability Explained — Picus Security
- CVE-2026-20253: Splunk Enterprise RCE & File Operation Flaws — Orca Security
- CISA Adds One Known Exploited Vulnerability to Catalog — CISA