자바 기반 pac4j-jwt 인증 라이브러리서 CVSS 10점 취약점 발견... “공개키만으로 우회”

코드앤트 AI, pac4j-jwt의 치명적 인증 우회 취약점 세부 내용 공개
서명 없는 PlainJWT 전송 시 서명 검증 로직 누락되는 결함 악용
pac4j 4.x, 5.x, 6.x 버전군 대상 보안 패치 배포 완료

[보안뉴스 조재호 기자] 자바(Java) 기반 인증 라이브러리 ‘pac4j-jwt’에서 공개키만으로 관리자 권한을 탈취할 수 있는 치명적 인증 우회 취약점(CVE-2026-29000)이 발견됐다. 공통 취약점 평가 시스템(CVSS) 최고점인 10.0을 기록한 취약점으로, 현재 보안 패치가 배포된 상태다.

코드앤트AI(CodeAnt AI) 보안연구팀은 3일(현지시각) 공식 블로그에서 이 취약점의 세부 내용과 개념 증명(PoC) 코드를 공개했다. 보고서에 따르면, 이 취약점은 JWT(JSON Web Token) 서명 검증 단계의 예외 처리 누락에서 비롯됐다.

통상적 pac4j 환경에서는 서버의 RSA 공개키로 암호화(JWE)를 수행하고, 내부에서 서명(JWS)을 검증하는 이중 보호 구조를 거친다. 하지만 공격자가 서명이 없는 비서명 토큰 ‘PlainJWT’를 생성한 뒤 서버 공개키로 암호화해 전송할 경우 문제가 생긴다.

복호화 이후 내부 토큰을 추출하는 과정(toSignedJWT())에서 결괏값이 ‘null’로 반환되기 때문이다. 이로 인해 서명 검증 로직(if (signedJWT != null))이 완전히 생략됨에도, 악의적으로 조작된 관리자 권한 등에 대한 토큰 클레임은 정상적으로 승인된다.

결과적으로 공격자는 탈취가 불가능한 개인키(Private Key)나 비밀 정보 없이, 누구나 접근 가능한 서버 공개키만으로 시스템 내 모든 사용자로 위장할 수 있다.

제롬 를루 pac4j 메인테이너는 이 취약점을 제보받은 직후 보안 권고문을 발표하고 패치 버전을 릴리즈했다. 취약점에 노출된 기존 버전 사용자는 4.5.9(4.x 버전군), 5.7.9(5.x 버전군), 6.3.3(6.x 버전군) 이상으로 즉시 업데이트해야 한다.

코드앤트AI 보안연구팀은 “공격자가 JWT 스펙상 허용되는 변칙적 토큰을 전송할 때 검증이 누락된 것이 원인”이라며, “이러한 취약점 패턴은 오픈소스 생태계 전반에서 반복적으로 나타나는 문제”라고 말했다.

[조재호 기자(sw@boannews.com)]

AI 및 AI 보안 솔루션이 보안 인력의 업무에 어떤 식으로 영향을 미칠것이라고 생각하시나요
	부족한 인력 보충: 만성적인 인력 부족 문제를 해결하는 보완재 역할을 하고 있다(100% 대체는 불가)
	업무 영역의 분리: AI는 대량 데이터 처리를, 전문가는 고도의 전략적 판단을 맡는 등 역할이 완전히 다르다
	업무 총량의 전이: 단순 업무는 줄었으나, AI 모델 관리·검증 등 새로운 형태의 운영 업무가 발생해 전체 업무량은 비슷하다
	인력 대체 가능: 단순 반복 업무를 넘어 분석/판단 영역까지 대체하여 인력을 줄일 수 있다
	신뢰도 부족: 아직은 AI의 오탐이나 환각(Hallucination) 우려로 인해 사람이 일일이 재검토해야 하므로 실질적인 도움은 적다