Node.js 2026년 1월 Async Hooks DoS 취약점

Source: Dev.to

프로덕션 환경에서 Node.js를 실행 중이라면, 이제 버전 번호를 확인할 때입니다.

오늘 일찍 Node.js 팀이 async_hooks 모듈과 관련된 서비스 거부(DoS) 취약점에 대한 중요한 보안 업데이트를 발표했습니다. 관측 도구, 트레이싱 라이브러리 또는 AsyncLocalStorage를 사용하고 있다면 애플리케이션이 위험에 처했을 수 있습니다.

이 글에서는 무슨 일이 있었는지, 왜 async_hooks가 관련됐는지, 그리고 어떻게 해결할 수 있는지 살펴보겠습니다.

async_hooks란 무엇인가?

취약점에 들어가기 전에 간단히 정리해 보겠습니다. async_hooks API는 Node.js에 내장된 강력하고 저수준의 모듈로, 비동기 리소스(프라미스, 타임아웃, TCP 소켓 등)의 수명을 추적할 수 있게 해줍니다.

다음과 같은 여러 기능의 핵심 엔진입니다:

• AsyncLocalStorage – 서로 다른 함수들 사이에서 요청 ID를 유지하는 데 사용됩니다.
• APM 도구 – New Relic, Datadog, OpenTelemetry 등이 요청을 추적하기 위해 활용합니다.
• 로깅 프레임워크 – 로그에 컨텍스트를 주입하는 데 사용됩니다.

Node.js 이벤트 루프의 핵심에 끼어 있기 때문에, 여기서 발생하는 비효율이나 버그는 성능에 큰 영향을 미칠 수 있습니다.

취약점: “2026년 1월” DoS

악용 방법

악의적인 공격자는 깊게 중첩되거나 재귀적인 async 호출과 같은 특정 비동기 패턴을 만들어 내부 리소스 추적 메커니즘이 무제한으로 메모리나 CPU를 소모하도록 할 수 있습니다.

그 결과는 메모리 부족(OOM) 크래시 또는 서버가 응답하지 않게 만드는 CPU 스파이크입니다. 이 문제는 내부 수준에서 발생하므로 일반적인 애플리케이션 수준의 try‑catch 블록으로는 방지할 수 없습니다.

영향을 받는 대상

다음에 해당한다면 영향을 받았을 가능성이 높습니다:

• Node.js(버전 v20.x, v22.x, v24.x)의 패치되지 않은 버전을 사용 중인 경우.
• 애플리케이션(또는 의존성)에서 async_hooks 또는 AsyncLocalStorage를 사용하는 경우.
• 비신뢰 사용자 입력을 받아 비동기 로직을 트리거하는 서버를 운영 중인 경우.

해결 방법: 지금 바로 업데이트

1. 현재 버전 확인

node -v

2. 패치된 버전으로 업데이트

• Node.js v24.x → 최신 v24.x 패치
• Node.js v22.x (LTS) → 최신 v22.x 패치
• Node.js v20.x (LTS) → 최신 v20.x 패치

(공식 권고에 명시된 구체적인 버전 번호를 X에 넣어 주세요.)

3. 업데이트 방법

nvm(Node Version Manager) 사용

nvm install 22 --reinstall-packages-from=22
nvm use 22

Docker 사용

# From
FROM node:22-slim
# To the latest patch
FROM node:22.14.0-slim   # or the latest patch version

임시 완화 방안(즉시 업데이트가 어려운 경우)

• 의존성 감사: cls-hooked와 같이 async_hooks에 크게 의존하는 라이브러리나 오래된 트레이싱 에이전트를 사용 중이라면, 해당 라이브러리에서 제공하는 우회 방법이 있는지 확인하세요.
• 비핵심 트레이싱 비활성화: AsyncLocalStorage를 비핵심 로깅 용도로만 사용한다면, 위험도가 높은 환경에서 일시적으로 비활성화하는 것을 고려하세요.
• Rate Limiting: Nginx, Cloudflare 등 리버스 프록시 레벨에서 공격자가 복잡한 async 요청으로 이벤트 루프를 포화시키는 것을 방지하기 위해 적극적인 속도 제한을 적용하세요.

자세한 내용은 nodejs.org에서 공식 보안 블로그 글을 확인하세요.