Apache DolphinScheduler 인증 누락 취약점(CVE-2026-32966), CVSS 9.8 긴급 패치 권고

핵심 요약

- Apache DolphinScheduler 3.4.2 이전 버전에서 DataSource API의 인증 검증 누락으로 인한 임의 데이터 소스 메타데이터 노출 취약점 발견 - CVSS 9.8점(Critical)으로 평가되어 즉각적인 대응이 필요한 긴급 보안 취약점 - Apache 재단은 3.4.2 버전으로의 즉시 업그레이드를 권고하며, 2026년 6월 17일 보안 권고 발표

주요 내용

Apache 소프트웨어 재단은 2026년 6월 17일, 분산 워크플로우 스케줄링 플랫폼인 DolphinScheduler에서 치명적인 보안 취약점(CVE-2026-32966)을 공개했다. 이 취약점은 DataSource API에서 인증 검증(Authorization Check)이 누락되어 인증되지 않은 공격자가 데이터 소스의 메타데이터를 임의로 조회할 수 있는 문제다.

DolphinScheduler는 빅데이터 생태계에서 널리 사용되는 오픈소스 워크플로우 관리 도구로, 데이터 파이프라인 구성 및 ETL 작업 스케줄링에 활용된다. 이번 취약점은 데이터베이스 연결 정보, 접속 계정, 스키마 구조 등 민감한 메타데이터가 노출될 수 있어 2차 공격으로 이어질 위험이 크다.

CVSS 3.x 기준 9.8점이라는 최고 수준의 점수가 부여된 이유는 공격 복잡도가 낮고(Low), 공격자 권한이 불필요하며(None), 사용자 상호작용 없이(None) 네트워크를 통해 원격 공격이 가능하기 때문이다. 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability) 모두에 높은 영향(High)을 미칠 수 있다는 평가다.

Apache 재단은 공식 메일링 리스트와 OSS-Security를 통해 3.4.2 버전에서 해당 문제를 수정했다고 밝혔으며, 해당 버전 이전을 사용 중인 모든 사용자에게 즉시 업그레이드를 권고하고 있다.

전문가 시각

ISMS-P 심사 관점에서 본 이번 사례는 API 설계 단계에서의 인증·인가 통제 미흡이 얼마나 심각한 결과를 초래하는지 보여주는 전형적인 사례다. 특히 데이터 소스 메타데이터는 그 자체로 민감정보일 뿐 아니라, 공격자가 실제 데이터베이스 침투를 위한 사전 정찰(Reconnaissance)에 활용할 수 있는 핵심 자산이다. 기업은 API 개발 시 OWASP API Security Top 10에서 강조하는 'Broken Object Level Authorization(BOLA)' 취약점 예방을 위해 모든 엔드포인트에 대한 인증·인가 검증 로직을 필수적으로 구현해야 한다.

실무적으로는 DolphinScheduler를 운영 중인 조직은 즉시 버전 점검과 패치 적용 계획을 수립해야 한다. 패치 적용 전까지는 임시 완화 조치로 DataSource API에 대한 네트워크 접근 제어(방화벽 규칙, ACL)를 강화하고, 웹 애플리케이션 방화벽(WAF)을 통해 비인가 API 호출을 차단하는 것을 권장한다. 또한 보안 로그를 점검하여 이미 악용 시도가 있었는지 확인하고, 데이터 소스 접속 계정의 비밀번호를 예방적으로 변경하는 것이 바람직하다.

영향받는 시스템 및 조치사항

영향받는 버전: Apache DolphinScheduler 3.4.2 이전의 모든 버전

CVSS 3.x 점수 해석: - Base Score: 9.8 (Critical) - Attack Vector: Network (원격 공격 가능) - Attack Complexity: Low (공격 난이도 낮음) - Privileges Required: None (인증 불필요) - User Interaction: None (사용자 개입 불필요) - Impact: High (기밀성·무결성·가용성 모두 높은 영향)

조치사항: 1. 즉시 조치: Apache DolphinScheduler 3.4.2 버전으로 업그레이드 2. 임시 완화: DataSource API 엔드포인트에 대한 네트워크 수준 접근 제어 적용 3. 침해 여부 점검: 최근 API 접근 로그 분석을 통한 비정상 접근 탐지 4. 사후 조치: 데이터 소스 연결에 사용되는 계정 credential 변경 5. 예방 조치: API Gateway 또는 WAF를 통한 인증·인가 정책 재점검

CPPG·ISMS-P 연계 포인트

1. 접근통제 정책(ISMS-P 인증기준 2.7.1~2.7.3) 이번 취약점은 API 수준의 접근통제 실패 사례로, ISMS-P 인증기준 중 '접근권한 관리'와 직접 연관된다. 모든 정보자산 접근 시 신원 확인(Authentication)과 권한 검증(Authorization)을 필수적으로 수행해야 하며, 특히 API와 같은 프로그래밍 인터페이스에서도 동일한 수준의 통제가 적용되어야 한다. 심사 시 API 명세서와 소스코드 검토를 통해 인증·인가 로직의 누락 여부를 확인하는 것이 중요하다.

2. 취약점 관리체계(ISMS-P 인증기준 2.6.3) CVE와 같은 공개 취약점 정보에 대한 모니터링 및 대응 프로세스 구축은 ISMS-P의 핵심 요구사항이다. 조직은 사용 중인 오픈소스 소프트웨어 목록(SBOM)을 관리하고, NVD, KISA 보호나라 등의 취약점 공지를 주기적으로 모니터링하여 Critical/High 등급 취약점 발견 시 정해진 SLA 내에 패치를 적용하는 체계를 갖춰야 한다. 본 사례처럼 CVSS 9.8 취약점은 24~48시간 내 긴급 대응이 요구된다.