수억 조직 연결된 n8n에 'Ni8mare'급 취약점…시스템 전체 탈취 우려

최근 데이터 보안 기업 사이에라(Cyera)가 발표한 보고서에 따르면, 인기 워크플로 자동화 플랫폼 n8n에서 치명적인 보안 취약점이 발견돼 수천 개 조직이 시스템 전체를 탈취당할 위기에 처해 있는 것으로 드러났다. 해당 취약점은 CVE-2026-21858로 등록되었으며, 보안 심각도 평가 기준(CVSS)에서 최고 등급인 10.0점을 받았다. 이 취약점은 인증 절차 없이도 공격자가 원격에서 악성 코드를 실행할 수 있도록 허용하는 것이 핵심이다.

사이에라 연구진은 이 버그에 'Ni8mare'라는 이름을 붙였다. 이 취약점은 별도의 인증을 요구하지 않고도 공격자가 n8n 플랫폼을 완전히 장악할 수 있도록 한다. n8n은 수많은 개발자 및 기업 사용자를 보유한 대표적인 노코드·로우코드 자동화 툴로, 애플리케이션, API, 다양한 외부 서비스를 연결해 워크플로를 구성할 수 있도록 설계됐다. 컨테이너 다운로드 횟수는 수억 건에 달한다.

이번 취약점의 원인은 n8n의 웹훅 및 폼 처리 과정에서 들어오는 HTTP 요청을 부적절하게 처리하는 구조에 있다. 특히 Content-Type 필드를 적절히 검증하지 않아 공격자가 조작된 요청을 통해 n8n이 임의의 입력 데이터를 업로드된 파일로 인식하게 만든다. 이는 비정상적인 방식으로 내부 파일을 유출하거나 SQLite 데이터베이스에 접근해 자격 증명, API 키, 암호화 키까지 탈취할 수 있는 통로로 작용하게 된다.

더 나아가 공격자는 획득한 정보를 이용해 관리자 계정을 가장하고 악성 워크플로를 생성하여 시스템 명령을 실행하고, 결과적으로는 전체 환경에 대한 원격 제어권을 확보할 수 있게 된다. 사이에라 연구원들은 이를 두고 "하나의 n8n 인스턴스가 수많은 내부 시스템과 연결되어 있다면, 해당 플랫폼이 곧 조직 전체의 접점이자 약점이 된다"고 경고했다. 실제로 n8n은 구글 드라이브, 오픈AI API, 세일즈포스, IAM 시스템, 결제 처리기, 고객 DB 등 광범위한 생태계와 연결되어 있어, 일단 시스템이 뚫리면 공격자는 사실상 '모든 열쇠'를 손에 넣게 된다.

다행히 n8n 측은 이번 취약점에 대한 패치를 이미 배포했다. 패치는 1.121.0 버전부터 적용되며, 자체 호스팅 환경에서 운영 중인 보안 담당자는 즉시 업데이트를 진행할 것이 권고된다. 아울러 사이에라는 웹훅과 폼 엔드포인트에 대한 공개 노출을 최소화하고, 가능한 경우 네트워크 차원의 보호 조치도 병행할 것을 제안했다.

이번 사건은 자동화 플랫폼이 가진 중앙화된 특성 때문에 보안 사고 발생 시 영향을 미칠 수 있는 범위가 매우 크다는 점을 다시금 환기시키고 있다. 수많은 시스템과 정보를 연결하는 구심점이자 생태계의 중심축인 n8n의 보안 결함은 단순한 기술적 취약점을 넘어 조직 전체를 마비시킬 수 있는 심각한 리스크로 작용할 수 있다. 따라서 이번 사례를 계기로 워크플로 플랫폼에 대한 보안성 강화와 정기적인 점검 체계의 중요성이 다시금 강조된다.