미국 사이버보안 및 인프라 보안국(CISA)은 최근 Drupal 콘텐츠 관리 시스템(CMS)에서 발견된 SQL 인젝션 취약점(CVE-2026-9082)에 대해, 미국 연방 정부 기관들이 수요일 자정까지 서버를 신속히 보호할 것을 명령하였다. 이 취약점은 인증 없이도 공격자가 PostgreSQL 기반 사이트에 임의의 SQL 인젝션을 유발할 수 있어, 정보 유출, 권한 상승, 원격 코드 실행 등 심각한 피해로 이어질 수 있다. 해당 취약점은 Google/Mandiant 연구원 Michael Maturi에 의해 발견되었으며, Drupal 보안팀은 이를 "매우 치명적"으로 분류하고 패치를 배포하였다.
Shadowserver에 따르면, 현재 전 세계적으로 약 670개의 Drupal 인스턴스가 아직 패치되지 않은 상태로 온라인에 노출되어 있으며, 이 중 대부분은 북미와 유럽에 위치해 있다. CISA는 이 취약점을 'Known Exploited Vulnerabilities(KEV) Catalog'에 추가하고, 연방 민간 행정부(FCEB) 기관에 대해 5월 27일 자정까지 패치 적용을 의무화하였다.
비록 이번 지침이 미국 연방 기관에만 적용되지만, CISA는 민간 부문을 포함한 모든 조직에 신속한 패치 적용을 강력히 권고하였다. CISA는 공급업체 지침에 따라 조치를 취하고, 클라우드 서비스에 대해서도 관련 지침을 준수하거나, 조치가 불가능할 경우 제품 사용을 중단할 것을 당부하였다.
※ 이 글은 생성형 AI(gpt4.1)에 의해 요약되었습니다.