n8n 워크플로우 자동화 플랫폼에서 CVSS 10점 인증 우회 취약점 발견

핵심 요약

- 오픈소스 워크플로우 자동화 플랫폼 n8n의 @n8n/mcp-browser 모듈에서 CVSS 10점(최고 위험도)의 인증 우회 취약점 발견 - HTTP 전송 모드 사용 시 인증 없이 브라우저 제어, JavaScript 실행, 쿠키 및 저장소 접근이 가능한 치명적 보안 결함 - 버전 2.25.7 및 2.26.2에서 패치 완료, 즉시 업데이트 권고

주요 내용

2026년 6월 29일 공개된 CVE-2026-54309는 오픈소스 워크플로우 자동화 플랫폼 n8n에서 발견된 치명적인 인증 우회 취약점이다. 이 취약점은 @n8n/mcp-browser 모듈이 HTTP 전송 모드(--transport http)로 실행될 경우, MCP(Model Context Protocol) 엔드포인트가 어떠한 인증 절차 없이 세션 초기화 및 도구 호출 요청을 수락하는 보안 결함에서 기인한다.

공격자는 네트워크상에서 접근 가능한 모든 클라이언트 또는 사용자가 방문한 악의적인 웹사이트를 통해 MCP 세션을 수립할 수 있다. n8n AI Browser Bridge 확장 프로그램이 설치되어 있고 브라우저 연결이 활성화된 환경에서는 인증되지 않은 공격자가 브라우저 제어 기능에 완전히 접근할 수 있다. 이를 통해 페이지 탐색, JavaScript 코드 실행, 사용자의 실제 브라우저 프로필에 저장된 쿠키 및 로컬 저장소 데이터 접근이 가능하다.

이 취약점의 위험성은 인증 절차의 완전한 부재에 있다. 공격자는 별도의 사용자 상호작용이나 권한 상승 없이 원격에서 피해자의 브라우저를 완전히 장악할 수 있으며, 이를 통해 세션 하이재킹, 금융 정보 탈취, 추가 공격을 위한 거점 확보 등 다양한 2차 공격이 가능하다. CVSS 3.x 기준 10점 만점을 받은 것은 공격 복잡도가 낮고(Low), 권한 요구사항이 없으며(None), 기밀성·무결성·가용성 모두에 치명적(High) 영향을 미치기 때문이다.

n8n 개발팀은 2026년 6월 버전 2.25.7 및 2.26.2를 통해 이 취약점을 수정했다. 해당 버전에서는 MCP 엔드포인트에 적절한 인증 메커니즘이 구현되었으며, HTTP 전송 모드 사용 시 보안 경고가 추가되었다.

전문가 시각

ISMS-P 선임심사원 관점에서 본 취약점은 '설계에 의한 보안(Security by Design)' 원칙의 부재를 명확히 보여준다. 워크플로우 자동화 플랫폼과 같이 다양한 시스템과 통합되는 솔루션에서는 모든 외부 인터페이스에 대한 인증 및 인가 통제가 필수적이다. 특히 브라우저 제어와 같은 민감한 기능을 제공하는 API는 개발 단계부터 Zero Trust 원칙에 따라 '모든 요청은 신뢰할 수 없다'는 전제로 설계되어야 한다. HTTP 전송 모드의 편의성을 위해 인증을 선택 사항으로 구현한 것은 심각한 설계 결함이다.

기업 환경에서는 이번 사례를 계기로 오픈소스 소프트웨어 도입 시 보안 검토 프로세스를 강화해야 한다. 특히 워크플로우 자동화 도구는 조직 내 다양한 시스템과 연계되므로, 도입 전 OWASP Top 10, CWE 기반 취약점 점검이 필수적이다. 또한 HTTP 전송 모드와 같은 '편의 기능'을 프로덕션 환경에서 사용할 경우 반드시 추가 네트워크 세그먼트 분리, 방화벽 규칙 적용 등 보상 통제를 구현해야 한다.

영향받는 시스템 및 조치사항

영향받는 버전: - n8n 2.25.7 이전 버전 (2.25.x 시리즈) - n8n 2.26.2 이전 버전 (2.26.x 시리즈) - @n8n/mcp-browser 모듈을 HTTP 전송 모드로 실행하는 모든 인스턴스

CVSS 점수 해석: - CVSS 3.x: 10.0 (CRITICAL) - 공격 벡터: 네트워크(Network) - 공격 복잡도: 낮음(Low) - 필요 권한: 없음(None) - 사용자 상호작용: 불필요(None) - 영향: 기밀성/무결성/가용성 모두 높음(High)

즉시 조치사항: 1. n8n을 버전 2.25.7 또는 2.26.2 이상으로 즉시 업데이트 2. @n8n/mcp-browser의 HTTP 전송 모드 사용 중지 및 대체 전송 방식으로 전환 3. 방화벽 로그 검토를 통한 MCP 엔드포인트 무단 접근 시도 확인 4. 브라우저 확장 프로그램 세션 로그 분석 및 의심스러운 활동 탐지 5. 업데이트 불가능한 경우 네트워크 수준에서 MCP 엔드포인트 접근 제한 적용

CPPG·ISMS-P 연계 포인트

1. 인증 및 접근통제 (ISMS-P 2.8.1~2.8.3) 이 취약점은 ISMS-P 인증체계 수립 및 구현 요구사항과 직접 연관된다. 정보시스템에 대한 접근은 반드시 사용자 식별 및 인증 절차를 거쳐야 하며, 특히 외부 네트워크에서 접근 가능한 인터페이스는 강화된 인증(MFA 등)을 적용해야 한다. API 엔드포인트에 대한 인증 우회는 ISMS-P 심사에서 '상' 수준의 취약점으로 분류되며, 즉시 시정조치가 요구된다.

2. 개발보안 - 시큐어 코딩 (ISMS-P 2.10.3) 인증 메커니즘의 선택적 구현은 OWASP Top 10의 'Broken Access Control' 및 CWE-306(인증 누락)에 해당한다. 개발 단계에서 모든 민감한 기능은 기본적으로 인증을 요구하도록 설계되어야 하며(Secure by Default), 편의 기능을 위한 인증 우회는 명시적 경고와 함께 제한된 환경에서만 허용되어야 한다. ISMS-P 심사 시 소스코드 검증 및 정적 분석 도구를 통한 CWE-306 패턴 검출이 필수적이다.