최근 공개된 CVE-2025-29927은 Next.js 사용자라면 반드시 알아야 할 보안 취약점입니다.

이 글에서는 기술적인 개념을 쉽게 풀어 설명하고, 대응하는 방안을 알아보도록 하겠습니다.

먼저, CVE-2025-29927을 이해하기 위해서는 middleware의 개념 이해가 필요합니다.

​

Next.js에서 Middleware(미들웨어)는 요청이 실제 페이지나 API에 도달하기 전에 먼저 실행되는 코드입니다.

이 코드는 사용자 요청을 분석하고, 다음과 같은 작업들을 처리할 수 있습니다.

● 사용자가 로그인했는지 확인

● 특정 페이지에 접근 권한이 있는지 검사

● 지역/언어에 따라 다른 콘텐츠 제공

● 로그 기록, 리디렉션 등 사전 처리

Next.js 12부터 정식 도입된 이 기능은 middleware.ts 또는 middleware.js 파일에 작성되며, 특정 경로나 전체 경로에 대해 적용할 수 있습니다.

미들웨어는 보안 관련 처리를 서버단에서 빠르게 실행할 수 있다는 점에서 많이 활용됩니다.

CVSS Score: 9.1 (Critical)

이번 취약점은 인증 시스템을 우회할 수 있게 해주는 고위험 보안 이슈로, CVSS 기준 9.1점이라는 매우 높은 심각도를 기록하고 있습니다.

이는 단순한 경고 수준이 아니라, 실제로 시스템의 보안 경계를 무력화할 수 있다는 의미입니다.

“보안 요원을 속여서 몰래 들어가는 방법이 발견됐다!”

Next.js는 React 기반의 웹 프레임워크로, middleware를 통해 요청이 페이지나 API에 도달하기 전에 인증, 권한 확인, 리디렉션 등의 처리를 수행합니다.

하지만 이번 취약점은 Next.js가 내부용으로 사용하는 HTTP헤더 x-middleware-subrequest를 공격자가 외부에서 조작해 전달할 수 있다는 점에서 문제가 발생했습니다.

이 헤더는 원래 무한 루프를 방지하기 위해 사용됩니다.

​

예를 들어, 미들웨어에서 내부적으로 fetch()나 리다이렉션등을 수행하면 다시 미들웨어가 실행될 수 있습니다. 이 때 무한히 반복되지 않도록 하기 위해 Next.js는 해당 요청에 x-middleware-subreqeust라는 특수 헤더를 붙여 ‘이건 이미 미들웨어를 거쳤어!’ 라고 표시합니다.

그런데 문제는 공격자가 이 헤더값을 직접 넣음으로써 미들웨어가 실행되지 않도록 속일 수 있게 된 것입니다. 그 결과, 인증 또는 권한 검사를 우회할 수 있게 되었습니다.

​

쉽게 설명한다면, 이런 상황입니다.

우리 회사가 운영하는 건물(서버)이 있고, 입구마다 보안 요원(미들웨어)이 서 있습니다.

​

“사원증이나 방문증 지참하셨나요?”

​

“관계자만 출입 가능한 구역입니다.”

보안 요원은 이런 질문들을 하며 보안을 지키고 있습니다.

그런데 어떤 외부인이 내부 직원이 사용하는 임시 출입증(헤더값)을 들고 와서 “안녕하세요~ 저 그냥 통과할게요~” 라고 말했더니, 보안 요원이 그냥 들여보내준 겁니다.

이게 바로 CVE-2025-29927입니다.

이 취약점은 인증 절차를 생략하게 만들 수 있기 때문에 매우 위험합니다.

​

단순히 “보안 우회” 수준이 아니라, 실제로 민감한 정보나 내부 기능에 누구나 접근할 수 있게 되기 때문입니다.

​

● 로그인하지 않은 사용자가 로그인 한 척 하고 중요한 페이지에 접근 가능

● VIP 전용 콘텐츠에 일반 사용자도 접근 가능

● 내부 API나 관리자 페이지도 보호되지 않을 수 있음

● 감사 로그, 보안 점검, 접근 제어 등 서버단의 모든 미들웨어 기반 로직이 무력화 될 수 있음

실제로 일어날 수 있는 사례를 들어 이 취약점이 왜 위험한 지 설명 드리겠습니다.

어떤 회사의 내부 관리자 페이지 /admin/dashboard는 미들웨어에서 로그인 된 관리자만 접근 가능하도록 제한하고 있었습니다.

​

하지만 공격자가 x-middleware-subrequest 헤더를 조작해 직접 이 경로로 요청을 보냈고, 미들웨어는 이를 내부 요청으로 착각해 인증 없이 통과시켰습니다.

결과적으로 공격자는 관리자 페이지에 접근하여,

● 내부 운영 데이터를 열람하고

● 시스템 설정을 조작하며

● 심지어 사용자 계정을 삭제하는 API까지 호출할 수 있었습니다.

이처럼 CVE-2025-29927은 단순한 기술적 허점이 아니라, 서비스 전체의 신뢰성을 무너뜨릴 수 있는 중대한 보안 이슈입니다.

이 취약점은 Next.js 애플리케이션이 어떻게 배포되고 실행되는지에 따라 영향을 받는 환경이 달라집니다.

​

특히, 미들웨어를 통해 인증이나 접근 제어를 처리하고 있는 경우에는 더 큰 위험에 노출될 수 있습니다.

영향을 받는 경우

● next start로 실행한 자체 호스팅 Next.js 애플리케이션

● middleware.ts 또는 middleware.js를 통해 인증 또는 권한 체크를 수행하고 있는 경우

● package.json에 next 버전이 14.2.0 등 취약 버전으로 명시되어 있는 프로젝트

영향을 받지 않는 경우

● Vercel, Netlify 등 클라우드 플랫폼에서 호스팅 할 경우

● Next.js 프로젝트 내에 미들웨어 기능을 사용하지 않는 경우

​

1. Next.js 버전 업데이트를 통한 패치 적용 ​

: 취약점이 해결된 버전으로 업그레이드

∨ 12.3.5 이상

∨ 13.5.9 이상

∨ 14.2.25 이상

∨ 15.2.3 이상

​

2. 웹 서버에서 헤더 차단 (임시 조치)​

: x-middleware-subrequest 헤더를 외부 요청에서 제거

​

예) Nginx 설정

사실 많은 기업에서는 자신들이 어떤 라이브러리의 어떤 버전을 사용하고 있는지 정확히 파악하지 못하는 경우가 많습니다.

​

특히, 프론트엔드 프레임워크나 다양한 오픈소스 의존성을 사용할수록 버전 추적과 보안 이슈 관리는 더욱 더 어려워집니다.

이럴 때 Mend와 같은 SCA 도구를 사용하면 매우 유용합니다.

​

SCA 도구는 코드베이스의 의존성을 분석하여, 사용 중인 라이브러리 버전이 알려진 취약점(CVE)에 해당하는지 자동으로 탐지해줄 뿐만 아니라, 해결책도 제시해줍니다.

​

​

이를 통해 개발자는 직접 코드 분석을 하지 않아도, 실시간으로 보안 상태를 점검하고 빠르게 패치를 적용할 수 있습니다.

​

이러한 자동화된 보안 분석은 기업의 보안 대응 속도를 획기적으로 향상시켜 줍니다.

​

Next.js를 사용하는 경우, 보안을 미들웨어에 맡기는 경우가 많습니다.

​

하지만 이번 취약점은 그 미들웨어를 우회하는 방식으로 시스템 전체 보안이 무너질 수 있는 사례였습니다.

사이트에서 인증, 권한 같은 민감한 기능을 미들웨어에 의존하고 있다면 꼭 패치를 적용하고, 서버단에서도 헤더 검사를 강화하는 것이 좋습니다.

앞으로도 보안 이슈는 계속 생기겠지만, 이렇게 쉽게 이해하고 빠르게 대응할 수 있다면 큰 문제없이 넘어갈 수 있습니다

​

빠른 오픈소스 보안 취약점 대응, Mend와 함께하세요.

​

​

지금 사용하는 라이브러리에 어떤 취약점이 포함되어 있는지 알고 계신가요?

​

Mend는 실시간 SCA 분석으로 숨겨진 위협을 사전에 감지하고, 빠르게 대응할 수 있도록 도와드립니다.

​

​

MDS 인텔리전스

오픈소스 보안 및 라이선스 관리 통합 솔루션, mend

E. mend@mdsit.co.kr