과거 정리: 미해결 쿠버네티스 CVE 기록 수정
기술 업데이트: 수정되지 않은 Kubernetes CVE
작성자:
- Pushkar Joglekar – Broadcom / SIG Security
- Tabitha Sable – Datadog / K8s Security Response Committee / SIG Security
날짜: 2026년 5월 26일 화요일
Kubernetes 프로젝트는 투명성을 바탕으로 클러스터 관리자와 보안 연구자에게 권한을 부여합니다. 이를 실현하는 중요한 방법 중 하나는 Common Vulnerabilities and Exposures (CVE) 데이터베이스에 CVE 레코드를 공개하는 것입니다.
공식 Kubernetes CVE Feed 를 성숙시키기 위한 지속적인 작업의 일환으로, 몇몇 오래된 수정되지 않은 이슈에 잘못된 fixed version 필드가 포함되어 있다는 불일치를 발견했습니다.
Kubernetes Security Response Committee (SRC) 가 2026년 6월 1일에 해당 CVE 레코드를 수정할 예정입니다. 이 변경으로 인해 이전에 탐지되지 않던 취약점 스캐너가 이제 해당 이슈를 표시할 수 있습니다.
이번 글에서 다루는 수정되지 않은 취약점
| CVE ID | 연도 | 상태 | 비고 |
|---|---|---|---|
| CVE‑2020‑8561 | 2020 | 수정되지 않음 | 잘못된 fixed version 정보가 포함되어 있었음 |
| CVE‑2020‑8562 | 2020 | 수정되지 않음 | 잘못된 fixed version 정보가 포함되어 있었음 |
| CVE‑2021‑25740 | 2021 | 수정되지 않음 | 잘못된 fixed version 정보가 포함되어 있었음 |
이 세 CVE는 몇 년 전 공개되었으며 아직 수정되지 않았습니다. 곧 진행될 수정 작업은 잘못된 “fixed version” 정보를 제거해 사용자와 도구의 혼란을 줄이는 데 도움이 됩니다.
질문이 있거나 추가 설명이 필요하시면 Kubernetes Security Response Committee에 문의해 주세요.
왜 지금 이 레코드를 업데이트하는가 {#why-we-are-updating-these-records-now}
이 취약점들은 수년간 공개돼 왔지만, 공식 Open Source Vulnerabilities (OSV) 파일을 생성하는 과정에서 해당 CVE 레코드가 실제 상태를 정확히 반영하지 못하고 있음이 드러났습니다. 구체적으로, 일부 레코드에서는 fixed 버전이 존재한다고 표시했지만, 실제로는 Kubernetes 기본 기능을 깨뜨리지 않고는 코드 수준에서 완전히 해결할 수 없는 설계상의 트레이드‑오프였습니다.
레코드를 바로잡는 것이 커뮤니티에 중요한 이유는 두 가지입니다:
- 자동화 정확도 – 최신 취약점 스캐너는 정확한 버전 범위에 의존합니다. 부정확한 fixed 태그는 거짓 부정(False Negative)을 초래해 사용자가 보안에 대한 잘못된 안심을 하게 합니다.
- 위험 문서화 – 이를 수정되지 않음 으로 공식화함으로써 플랫폼 제공자와 관리자는 지속적인 관리적 완화가 필요함을 인식하게 됩니다.
참고로 CVE‑2020‑8554 는 모든 버전에 영향을 미치는 것으로 올바르게 기록된 수정되지 않은 CVE이며, 이 레코드도 보다 표준화된 버전‑번호 형식으로 업데이트될 예정입니다.
수정되지 않은 아키텍처 위험에 대한 기술 분석
다음 취약점들은 Kubernetes 프로젝트에서 수정되지 않을 예정입니다.
GitHub 이슈가 이러한 결함의 기술적 메커니즘을 이해하는 가장 좋은 참고 자료입니다.