CVE-2026-49975: HTTP/2 폭탄 공격으로 웹 서버를 몇 초 만에 오프라인으로 만들 수 있습니다

CVE-2026-49975로 추적되는 새롭게 공개된 서비스 거부 취약점은 오래전부터 알려진 HTTP/2 약점을 현대적인 공격으로 효과적으로 연결할 수 있음을 보여줍니다. SecurityWeek에 따르면, Calif의 연구원들은 압축 폭탄과 서버가 메모리를 해제하지 못하게 하는 Slowloris 스타일의 홀드를 결합하여 몇 초 만에 주요 웹 서버를 중단시킬 수 있는 HTTP/2 Bomb 익스플로잇을 시연했다고 보도했습니다.

보고서에 따르면, 이 공격은 HTTP/2를 지원하고 NGINX, Apache HTTP(Web) 서버, Microsoft IIS, Envoy, 또는 Cloudflare Pingora의 기본 설정을 실행하는 880,000개 이상의 웹사이트에 잠재적으로 영향을 미칠 수 있습니다. Calif는 또한 이 공격이 100Mbps 연결을 사용하는 가정용 컴퓨터에서 시작될 수 있으며 몇 초 만에 영향을 받는 서버를 사용할 수 없게 만들 수 있다고 말했습니다.

CVE-2026-49975 분석

SecurityWeek는 이 공격이 단일한 새로운 결함이 아니라 알려진 서비스 거부 기술의 체인에 기반하고 있다고 설명합니다. 첫 번째 단계는 HTTP/2 헤더 압축을 악용하여 매우 작은 메시지를 목적지 서버에서 큰 메모리 소비 구조로 확장하는 HPACK Bomb, CVE-2016-6581로 추적된 문제를 활용합니다. 이 기사는 이 기술이 지난해 Apache HTTPD에 4,000배 증폭률로 시연되었으며 Apache는 이 문제를 CVE-2025-53020로서 버전 2.4.64에서 해결했다고 언급합니다.

두 번째 단계는 두 HTTP/2 Slowloris 스타일의 문제인 CVE-2016-8740 및 CVE-2016-1546을 악용하여 연속 프레임 및 조작된 흐름 제어 창에 묶여 있습니다. SecurityWeek에 따르면 공격자는 0바이트의 흐름 제어 창을 광고하여 서버가 응답을 보내지 못하게 만들고, 그런 다음 전송 시간 초과를 재설정하여 메모리 할당이 해제되지 않고 고정되도록 할 수 있습니다.

이 변종을 주목할 만하게 만드는 점은 SecurityWeek에 인용된 Calif의 설명에 따르면, 증폭이 큰 디코딩된 헤더 값에서 오는 것이 아니라 거의 빈 헤더 주위에 서버가 할당하는 항목별 부기에서 오는 것입니다. 이는 전통적인 디코딩 크기 제한이 공격을 막지 못할 수 있음을 의미하며, ‘디코딩할 것이 거의 없다’고 보고서는 주장합니다. 또한 Calif는 헤더 필드 수를 제한하는 서버에 대한 우회를 발견했으며 공격을 시연하는 개념 증명 코드를 공개했다고 보고서는 말합니다.

탐지 탐색

CVE-2026-49975 완화

SecurityWeek는 NGINX가 4월에 버그를 해결했고 Apache는 5월 말에 패치를 내놓고 CVE-2026-49975를 할당했다고 보고합니다. 보고 당시에 Microsoft IIS, Envoy, 및 Cloudflare Pingora는 아직 패치되지 않았습니다.

실질적인 방어 관점에서 가장 명확한 단기 우선 순위는 기본 HTTP/2 구성을 사용하는 인터넷 접속 시스템을 식별하고 패치된 소프트웨어를 실행하는지 확인하는 것입니다. 기사에서는 구체적인 IOC 또는 심층 탐지 원격 탐사 데이터를 게시하지 않으므로, 노출된 HTTP/2 서비스, 빠른 메모리 스파이크, 메모리 소모와 일치하는 갑작스러운 서비스 불안정을 집중하는 것이 가장 현실적인 접근법입니다. 마지막 점은 SecurityWeek 보고서에 기술된 공격 동작에 기반한 방어적 추론입니다.