인젝션 차단 믿었는데... 뚫려버린 방패, Node.js ORM '시퀄라이즈' 취약점 사태

 

안녕하세요, IT 보안 소식을 전하는 지오이스트입니다.
 
웹 개발을 하다 보면 "ORM(객체-관계 매핑)을 쓰면 SQL 인젝션 공격은 알아서 막아준다"는 이야기를 흔히 듣게 됩니다. 개발자가 복잡한 쿼리를 직접 짜지 않아도 되고, 입력값도 자동으로 필터링해주기 때문에 보안의 든든한 방패로 여겨져 왔죠.

그런데 최근, 이 굳건한 믿음을 산산조각 내는 충격적인 소식이 전해졌습니다. Node.js 생태계의 대표적인 ORM 라이브러리인 '시퀄라이즈(Sequelize)' 자체에서 고위험 취약점이 발견된 것입니다.
 
웹방화벽(WAF)의 눈마저 감쪽같이 속여버린 이번 취약점의 실체와 대응 방안에 대해 알아보겠습니다.

---

🔎 무엇이 문제인가? 신뢰받는 주방장(ORM)의 배신

ORM은 식당으로 치면 손님(개발자)의 주문을 받아 알아서 요리(SQL)를 완성해 주는 주방장과 같습니다. 그런데 이번 사태는 바로 이 굳게 믿었던 주방 내부에서 터졌습니다.

* 취약점의 정체 (CVE-2026-30951) : 시퀄라이즈 v6 계열에서 JSON 칼럼 데이터를 처리할 때 발생합니다.
* 검증 누락 : 데이터 형식을 변환하는 '캐스트 타입(Cast Type)' 명령어에 대해, ORM이 아무런 필터링을 거치지 않고 SQL 구문에 그대로 삽입해버리는 치명적인 버그가 확인되었습니다.

😈 공격자들의 치밀한 우회 수법 (WAF 무력화)

대부분의 기업은 외부 공격을 막기 위해 애플리케이션 앞단에 웹방화벽(WAF)을 세워둡니다. 하지만 이번 공격 앞에서는 WAF도 무용지물이었습니다. 공격자들은 WAF의 구조적 맹점을 교묘하게 파고들었습니다.

* JSON 위장술 : 공격자가 조작된 악성 키(예: `role::text) or 1=1--`)를 API 요청에 담아 보냅니다. 이때 트래픽은 평범한 'JSON 문자열' 형태를 띠고 있어 WAF의 탐지망을 무사히 통과합니다.
* 서버 내부에서 돌변 : WAF가 안전하다고 판단해 통과시킨 데이터가 서버 깊숙한 곳의 ORM에 도달하는 순간, 비로소 파괴적인 악성 SQL 문법으로 조립됩니다. 겉에서 지키는 경비원이 내부 밀실에서 일어나는 일을 막을 수는 없는 노릇이죠.

😱 결과: 무리한 차단은 서비스 장애로 이어져

그렇다면 WAF에서 `::`나 `or` 같은 특수기호를 무조건 막아버리면 어떨까요?

문제는 이런 기호들이 정상적인 데이터 전송 과정에서도 흔하게 쓰인다는 점입니다. 무리하게 차단할 경우 멀쩡한 사용자의 서비스 이용까지 막히는 대형 장애로 이어지게 됩니다. 결국 WAF는 이번 취약점의 실질적인 해결책이 될 수 없으며, 방치할 경우 데이터베이스 전체가 탈취될 위험에 노출됩니다.

🛡️ 어떻게 방어해야 하나? 대응 방안

크리밋의 김동현 대표는 "네트워크 방어가 탄탄해도 코드 안에서 터지는 취약점은 결국 코드로 막을 수밖에 없다"고 강조했습니다.

* 즉각적인 버전 업데이트 (필수) : 시퀄라이즈 6.37.8 버전에서는 허용된 데이터 타입(화이트리스트)만 변환하도록 로직이 수정되었습니다. JSON 칼럼을 쓴다면 즉시 터미널에 `npm install sequelize@6.37.8` 명령어를 입력해 패치를 적용해야 합니다.
* 시프트 레프트(Shift-left) 접근법 도입 : 근본적으로는 취약한 라이브러리가 운영 환경에 섞여 들어가는 것 자체를 막아야 합니다. 개발자가 코드를 병합하고 배포하는 CI/CD 파이프라인 초기 단계부터 보안 점검을 자동화하여 선제적으로 차단하는 체계가 필요합니다.

보안 장비나 편리한 프레임워크가 모든 것을 막아줄 것이라는 맹신은 위험합니다. 이제는 개발 생명주기 전반에 걸쳐 "우리 코드는 정말 안전한가?"를 끊임없이 검증해야 하는 시대입니다.
 
지금까지 지오이스트였습니다.

---