⚠️ 레디스(Redis) 치명적 취약점 ‘레디쉘(CVE-2025-49844)’ 발견 — 원격 코드 실행(RCE) 가능, CVSS 10.0

널리 쓰이는 인메모리 DB Redis(레디스)에서 원격 코드 실행을 허용하는 치명적 취약점이 확인되었습니다. 보안 기업 Wiz가 발견해 Redis 프로젝트에 보고했으며, 평점은 CVSS 10.0(치명)입니다. 해당 취약점은 최근 공개된 패치로 긴급 대응이 권고됩니다.

---

🔎 한눈에 요약

• 취약점 이름: 레디쉘 (별칭)
• CVE: CVE-2025-49844
• 영향도: Redis 전 제품군(과거 13년치 코드 포함)
• 위험도: CVSS 10.0 — 원격 코드 실행(RCE) 가능
• 공개자: 보안기업 Wiz
• 현재 상태: 패치·권고안 공개 중, 즉시 대응 권고
• 인터넷 노출 인스턴스: 약 33만 개(이 중 6만 개 이상이 인증 없이 접근 가능)
• 공격 전제: Redis 인스턴스에 대한 정당한 인증(접근 권한) 확보 필요

---

🧩 취약점 기술 요약 (비전문가용)

• 공격자는 Lua 스크립트를 특정한 방식으로 만들어 Redis의 가비지 컬렉터(GC)를 조작합니다.
• 그 결과 use-after-free(UAF) 조건이 발생하고, 공격자가 메모리를 조작해 호스트 시스템에서 임의의 네이티브 코드 실행(=RCE)이 가능해집니다.
• 루아 샌드박스를 탈출하면 시스템 자격 증명 탈취, 악성코드 설치, 횡적 이동, 데이터 유출, 암호화폐 채굴 등 다양한 악용이 가능합니다.

---

⚠️ 위험 시나리오(예)

1. 공격자가 Redis 인증 정보를 얻음(혹은 인증이 없는 인스턴스 노출).
2. 악성 Lua 스크립트 전송 → 가비지 컬렉터 조작 → UAF 발생.
3. 메모리 조작으로 네이티브 코드 실행 → 백도어 설치·권한 탈취·데이터 유출 등.

참고: 아직 보고된 실제 악용 사례는 확인되지 않았으나, 공격 난이도·영향도를 고려하면 사전 차단이 시급합니다.

---

✅ 긴급 권고(관리자용 체크리스트)

1. 패치 적용 (우선)
   • Redis 쪽 보안 권고 및 배포되는 공식 패치를 즉시 적용하세요. (패치가 나오면 가장 우선)
2. 임시 완화 조치
   • EVAL / EVALSHA 명령 제한: Lua 스크립트 실행을 막기 위해 ACL로 EVAL/EVALSHA 권한을 제거하세요.
     • 예시(개념): ACL을 통해 일반 사용자에게 EVAL/EVALSHA 권한을 제거하고 필요한 명령만 허용.
   • 접근 제어: 인증(비밀번호/ACL) 없는 인스턴스를 즉시 차단. requirepass 또는 ACL 사용 강제.
   • 네트워크 제약: Redis 인스턴스는 외부 인터넷에 직접 노출하지 말고, 방화벽/보안 그룹으로 내부망·허용 IP만 접근 가능하게 제한.
   • protected-mode: 사용 가능한 경우 protected-mode yes 활성화.
   • 바인딩: bind 설정으로 localhost 또는 미리 정한 내부 IP만 바인딩.
3. 탐지·모니터링 강화
   • Redis 접속/명령 로그를 즉시 수집·분석(비정상적인 EVAL 호출, 비정상적 인증 시도 탐지).
   • 호스트 레벨에서 이상 프로세스·네트워크 활동(특히 암호화폐 채굴, 외부 C2 연결) 모니터링.
4. 인벤토리 정리
   • 인터넷에 노출된 Redis 인스턴스(포트 6379 등)를 전수 점검. 인증 설정·접속 권한 상태 파악.
   • 클라우드 환경의 보안 그룹·네트워크 ACL 재검토.
5. 접근 권한 관리
   • 최소 권한 원칙(ACL 기반 권한 분리) 적용. 관리자 계정은 별도 격리·감사.
6. 포렌식 대비
   • 의심 정황 발견 시 메모리 덤프, 프로세스·네트워크 캡처 등 증거 수집 절차 준비.
   • 외부 침해사고 대응 전문기관과 사전 연락망 확보.

---

🔧 예시: ACL로 Lua 실행 제한(개념 설명)

주의: 아래는 개념 설명입니다. 운영 환경에서 변경 전 반드시 백업 및 테스트하세요.

• 개념적 조치: 기존 사용자에서 EVAL/EVALSHA 권한 제거
• 실제 명령은 Redis 버전·환경에 따라 달라질 수 있으므로 공식 문서·관리자 가이드를 참고해 적용하세요.

---

🛡️ 운영·보안팀이 취해야 할 후속 조치

• 패치 배포 계획 수립: 테스트 환경 → 스테이징 → 프로덕션 순으로 신속히 배포
• 사내 전파: 서비스별 Redis 사용 담당자에게 취약점 경고 및 대응 체크리스트 전달
• 위협헌팅(Threat Hunting): 이미 침해 여부를 확인하기 위해, 최근(수주 내) 이상 징후(비정상 EVAL 호출, 새로운 crond·프로세스 등) 수색
• 고객·이용자 공지: 서비스 영향 가능 시 투명한 공지·대응 안내 준비

---

📌 참고 및 출처

• 공개된 취약점 정보: CVE-2025-49844
• 발견자: 보안기업 Wiz (취약점 리포트 및 권고 참고 권장)
• Redis 공식 보안 권고(패치 공지 발생 시 공식 문서 우선 확인)

---

🔚 마무리(요약)

• 레디쉘(CVE-2025-49844)은 Redis 전 제품군에 영향을 미치는 치명적 RCE 취약점입니다.
• 공격자는 Lua 스크립트와 가비지 컬렉터 조작을 통해 원격 코드 실행을 얻을 수 있으며, 인터넷에 노출된 인증 없는 인스턴스는 특히 위험합니다.
• 즉시 패치 적용과 함께 EVAL/EVALSHA 제한, 접근제어(인증·방화벽) 강화, 탐지·모니터링을 병행하시기 바랍니다.