Firecracker virtio-pci 전송 계층 보안 이슈 CVE-2026-5747, 1.13.0~1.14.3 및 1.15.0 영향

AWS Security Blog에 따르면 Firecracker의 virtio-pci transport에서 경계 밖 쓰기(out-of-bounds write) 취약점이 확인됐다. 이 이슈는 x86_64와 aarch64 환경의 Firecracker 1.13.0~1.14.3, 1.15.0에 영향을 주며, 로컬 게스트 내부의 root 권한 사용자가 Firecracker VMM 프로세스를 중단시키거나 추가 조건이 맞을 경우 호스트 측 코드 실행으로 이어질 가능성이 있다. 다만 AWS는 자사 서비스에는 영향이 없다고 명시했다.

취약점 개요와 영향 범위

이번 CVE-2026-5747은 Firecracker의 virtio-pci 전송 계층에서 발생하는 경계 밖 쓰기 문제다. 원문 기준으로 영향 대상은 x86_64와 aarch64의 Firecracker 1.13.0부터 1.14.3까지, 그리고 1.15.0이다.

공격 조건은 게스트 내부의 로컬 사용자 중 root 권한을 가진 경우로 제시됐다. 악용 시 Firecracker VMM 프로세스 크래시가 가능하며, 호스트 코드 실행 가능성도 언급됐지만 이는 커스텀 게스트 커널 사용이나 특정 스냅샷 구성 등 추가 전제조건이 있을 때에 한정된다.

운영자가 먼저 확인할 항목

자체적으로 Firecracker를 운영하는 환경이라면 우선 배포 중인 버전이 1.13.0~1.14.3 또는 1.15.0에 해당하는지 확인할 필요가 있다. 특히 내부 표준 이미지, 자동 배포 템플릿, 테스트용 노드에 동일 버전이 남아 있는지 함께 점검하는 편이 실무적으로 중요하다.

멀티테넌트 가상화나 함수 실행 기반 환경에서 Firecracker를 직접 사용하는 경우, 게스트 내부 root 권한이 어떤 경로로 부여되는지와 커스텀 게스트 커널 또는 스냅샷 구성이 있는지를 함께 확인해야 한다. 원문은 호스트 코드 실행에 추가 조건이 필요하다고 밝혔기 때문에, 해당 조건을 충족하는 운영 형태인지가 우선적인 분기점이 된다.

국내·일본 IDC와 서버호스팅 관점에서의 의미

이번 공지는 AWS 서비스 영향이 없다는 점을 분명히 했기 때문에, 일반적인 AWS 이용자 입장에서는 즉시 장애나 서비스 변경 이슈로 받아들일 사안은 아니다. 반면 Firecracker를 별도로 도입해 경량 VM 기반 격리 환경을 운영하는 클라우드 사업자, 연구 환경, 호스팅 인프라라면 버전 현황과 게스트 권한 모델을 직접 점검해야 한다.

IDC, 코로케이션, 서버호스팅 운영에서는 이 취약점을 범용 하이퍼바이저 전체 문제로 확대 해석하기보다, Firecracker 사용 여부와 해당 버전 존재 여부를 기준으로 자산 식별을 먼저 수행하는 것이 적절하다. 관련성이 없는 KVM 일반 노드나 다른 가상화 스택까지 과도하게 확장해 해석할 필요는 없다.

현재 공개 정보 기준 대응 정리

원문에는 영향 버전과 공격 조건, AWS 서비스 비영향 사실이 제시돼 있다. 반면 수정 버전이나 패치 릴리스 번호는 제공되지 않았으므로, 운영자는 우선 영향 버전 식별과 노출 조건 확인에 초점을 맞추는 것이 맞다.

실행 순서로는 영향 버전 확인, 게스트 root 권한 운영 모델 점검, 커스텀 게스트 커널 및 특정 스냅샷 구성 사용 여부 확인, 내부 이미지 저장소와 자동화 템플릿의 잔존 버전 점검 순으로 정리할 수 있다. 이후 추가 공지가 나오면 해당 권고 버전이나 수정 내역을 반영하는 방식이 현실적이다.

핵심 포인트

• CVE-2026-5747은 Firecracker virtio-pci transport의 경계 밖 쓰기 취약점이다.
• 영향 대상은 x86_64와 aarch64의 Firecracker 1.13.0~1.14.3, 1.15.0이다.
• 로컬 게스트 root 권한 사용자가 VMM 크래시를 유발할 수 있다.
• 호스트 코드 실행은 커스텀 게스트 커널, 특정 스냅샷 구성 등 추가 조건이 필요하다.
• AWS는 자사 서비스에는 영향이 없다고 밝혔다.