n8n 플랫폼 CVSS 10점 취약점 발견, 인증 우회로 브라우저 완전 장악 가능

---

오픈소스 워크플로우 자동화 플랫폼 n8n의 핵심 모듈에서 최고 위험 등급인 CVSS 10점의 치명적 인증 우회 취약점이 발견됐다. 공격자가 인증 없이 브라우저를 완전히 제어하고 민감 정보를 탈취할 수 있어, 해당 플랫폼을 사용하는 기업들의 긴급 패치가 요구된다.

---

취약점 상세 분석

이번에 발견된 CVE-2026-54309 취약점은 n8n의 @n8n/mcp-browser 모듈에서 발생했다. 해당 모듈이 HTTP 전송 모드로 작동할 때 인증 메커니즘이 완전히 우회되는 심각한 결함이다.

공격자가 악용 시 가능한 행위는 다음과 같다: - 브라우저 인스턴스 완전 제어 - 임의의 JavaScript 코드 원격 실행 - 세션 쿠키 및 로컬 스토리지 접근·탈취 - 저장된 인증 토큰 및 자격 증명 유출

n8n은 400개 이상의 서비스와 연동되는 자동화 플랫폼으로, Zapier나 Make의 오픈소스 대안으로 스타트업과 중소기업에서 널리 사용된다. 업무 자동화 워크플로우에 각종 SaaS 인증 정보가 저장되어 있어, 이번 취약점으로 인한 2차 피해 우려가 크다.

왜 CVSS 만점인가

CVSS(Common Vulnerability Scoring System) 10점은 취약점 심각도의 최고 등급이다. 이번 취약점이 만점을 받은 이유는 명확하다.

평가 항목	점수 근거
공격 벡터	네트워크(원격 공격 가능)
공격 복잡도	낮음(특별한 조건 불필요)
필요 권한	없음(인증 우회)
사용자 상호작용	불필요
영향 범위	기밀성·무결성·가용성 모두 완전 침해

특히 사전 인증 없이 원격에서 악용 가능하다는 점에서, 인터넷에 노출된 n8n 인스턴스는 즉각적인 공격 대상이 될 수 있다.

패치 현황 및 대응 방안

n8n 측은 해당 취약점을 인지하고 버전 2.25.7 및 2.26.2에서 보안 패치를 완료했다. 해당 플랫폼을 운영 중인 기업·기관은 다음 조치를 즉시 이행해야 한다.

[긴급 대응 체크리스트] 1. 즉시 패치 적용: 최신 버전(2.25.7 또는 2.26.2 이상)으로 업데이트 2. 임시 완화 조치: 패치 전까지 HTTP 전송 모드 비활성화, 외부 네트워크 접근 차단 3. 침해 여부 점검: 비정상 브라우저 세션, 의심스러운 JavaScript 실행 로그 확인 4. 자격 증명 갱신: n8n에 저장된 API 키, 토큰 등 전체 재발급 검토

오픈소스 보안 관리의 교훈

이번 사례는 오픈소스 도입 기업들에게 중요한 시사점을 남긴다. 편의성과 비용 절감을 위해 도입한 오픈소스가 오히려 보안 사각지대가 될 수 있다.

기업은 사용 중인 오픈소스 컴포넌트 목록(SBOM)을 체계적으로 관리하고, CVE 모니터링 체계를 구축해 신규 취약점 발생 시 신속히 대응할 수 있는 프로세스를 마련해야 한다.

---

📚 CPPG·ISMS-P 시험 연계 포인트

>

ISMS-P 인증기준 2.10.4 '취약점 점검 및 조치'

>

정보시스템의 취약점을 주기적으로 점검하고, 발견된 취약점에 대해 위험도에 따라 조치 우선순위를 부여하여 적시에 보완 조치를 수행해야 한다. 특히 CVSS 7.0 이상의 고위험 취약점은 긴급 패치 대상으로 분류하며, 오픈소스 SW의 경우 NVD(국가취약점데이터베이스) 등 외부 취약점 DB 모니터링을 통한 선제적 대응 체계 구축이 요구된다.

---

백남정 기자 (security@techpress.kr)