Ingress-Nginx 치명적 RCE 3종 공개 — CVE-2026-24513 CVSS 8.8, 즉시 업그레이드 필요

핵심 요약

Ingress-Nginx에서 치명적인 원격 코드 실행(RCE) 취약점 3종이 공개됐다. K8s 클러스터의 퍼블릭 진입점이 뚫리는 시나리오라 영향 범위가 크다.

• CVE-2026-24512 — 인증 우회
• CVE-2026-24513 — RCE, CVSS 8.8 (High)
• CVE-2026-24514 — 권한 상승
• 조치: v1.13.7 또는 v1.14.3 이상으로 즉시 업그레이드

왜 이 취약점이 심각한가

Ingress-Nginx는 K8s 클러스터의 퍼블릭 진입점이다. 여기서 RCE가 터지면 클러스터 내부 전체가 위험에 노출된다. Pod Security Standards로도 막을 수 없는 네트워크 경로 공격이라는 점이 특히 위험하다.

즉시 해야 할 조치 5가지

1. 현재 버전 확인: kubectl -n ingress-nginx get deploy ingress-nginx-controller -o jsonpath='{.spec.template.spec.containers[0].image}'
2. 롤링 업데이트로 v1.13.7 / v1.14.3 이상으로 올린다
3. Admission Webhook 엔드포인트의 외부 노출 여부를 점검한다
4. audit 로그에서 의심스러운 /admission 요청을 탐색한다
5. Gateway API 마이그레이션 계획을 중장기 과제로 수립한다

노출 여부 빠른 점검

다음 명령으로 클러스터 내 Ingress-Nginx 버전을 한 번에 확인할 수 있다.

kubectl get pods -A -l app.kubernetes.io/name=ingress-nginx \
  -o jsonpath='{.items[*].spec.containers[*].image}' | tr ' ' '\n'

자주 묻는 질문

외부 노출 없이 내부에서만 쓰면 안전한가?

내부 공격자나 유출된 자격증명 시나리오에서는 동일한 위협이 된다. 업그레이드가 정답이다.

업그레이드 후 롤백 리스크는?

1.13 → 1.13.7은 마이너 패치라 호환성 리스크가 낮다. 1.14 계열로 올릴 때는 변경사항 리뷰가 필요하다.