Apache ActiveMQ CVE-2026-34197 — CISA "4월 30일까지 패치 의무"

핵심 요약

미 CISA가 4월 16일 Apache ActiveMQ 취약점 CVE-2026-34197을 KEV(Known Exploited Vulnerabilities) 카탈로그에 등재하고, 4월 30일까지 모든 연방기관에 패치를 의무화했다. 익스플로잇 코드가 다크웹·Telegram에 다수 유통 중이다.

• CVE: CVE-2026-34197
• 유형: Authentication Bypass
• 영향 버전: ActiveMQ 5.18.x ~ 6.1.x
• 패치: 5.18.7 / 6.0.4 / 6.1.3
• CISA 데드라인: 2026-04-30

공격 시그널

인터넷에 노출된 ActiveMQ 콘솔(8161/tcp)을 자동 스캔하는 봇넷 활동이 4월 21일부터 급증했다. Shodan 기준 노출 인스턴스 4만 4천여 곳이며, 그중 약 60%가 영향 버전이다. 한국 ASN에서는 800여 개가 노출 상태로 확인됐다.

익스플로잇 흐름

1. 인증 헤더 우회 페이로드로 jolokia 엔드포인트 접근
2. JMX 통해 임의 클래스 로드
3. RCE까지 평균 7초
4. 채굴기·Mirai 변종·랜섬웨어 등 다양한 페이로드 관측

한국 영향

금융위원회가 4월 28일 금융권에 긴급 보안 권고. 공공·증권·통신 일부 시스템이 ActiveMQ를 메시징 백본으로 사용 중이다. 조선·자동차 제조사 ERP 미들웨어로도 다수 사용된다.

대응

# 1) 즉시 패치
mvn versions:use-latest-versions -Dincludes=org.apache.activemq:*

# 2) 콘솔 격리 — 외부 노출 차단
# jetty.xml에서 8161 포트는 127.0.0.1 또는 VPN 대역만 바인딩

# 3) jolokia 비활성 (사용 안 한다면)
# jetty.xml의 jolokia handler 주석 처리

# 4) 보호 모니터링 — 비정상 JMX 호출
tail -f activemq.log | grep -i "jolokia\|jmx.*exec"

업계 의미

ActiveMQ는 2023년 CVE-2023-46604 이후 또 다시 대형 결함. 메시지 브로커 진영의 보안 빚이 누적되고 있다는 평가다. RabbitMQ·Kafka 측은 자체 감사 강화를 발표했다.