비트코인 코어 버그로 인해 노드의 43%가 원격 충돌 위험에 처함

비트코인 네트워크의 주요 클라이언트 소프트웨어인 비트코인 코어에서 발견된 고위험 취약점이 광부들이 패치되지 않은 노드를 충돌시킬 수 있게 할 수 있다는 사실이 2026년 5월 6일 개발자들의 공개 발표를 통해 밝혀졌습니다. 네트워크 노드의 약 43%가 1년 전에 패치된 이 버그에 여전히 노출되어 있는 것으로 추정됩니다.

공식 공지에 따르면 CVE-2024-52911로 명명된 이 취약점은 MIT 디지털 통화 이니셔티브(DCI)의 코리 필즈(Cory Fields)가 발견한 'use-after-free' 메모리 오류입니다. 필즈는 2024년 11월 2일 이 문제를 비공개로 보고하여, 악의적인 행위자가 이를 악용하기 전에 개발자들이 조용히 수정 사항을 발표할 수 있도록 했습니다.

이 버그는 0.14.0에서 28.x까지의 모든 비트코인 코어 버전에 영향을 미칩니다. 충분한 해시 파워를 가진 광부가 특수하게 제작된 잘못된 블록을 제출하면 취약한 노드가 충돌할 수 있습니다. 이 결함은 메모리 오류이기 때문에 공개 내용에 따르면 가능성은 낮지만 원격 코드 실행의 위험도 존재했습니다. 수정 사항은 2025년 4월에 출시된 비트코인 코어 버전 29.0에 포함되었습니다.

주요 위험은 네트워크 안정성입니다. 공격이 성공할 경우 상당 부분의 노드가 오프라인 상태가 될 수 있기 때문입니다. 이 공격에는 내재된 억제력이 있는데, 바로 비용입니다. 광부는 잘못된 블록을 채굴하기 위해 상당한 작업 증명(PoW) 자원을 소비해야 하며, 그 대가인 블록 보상을 포기해야 합니다. 그러나 Clark Moody의 대시보드 데이터에 따르면 여전히 노드의 약 43%가 취약한 소프트웨어를 실행 중이며, 이는 탈중앙화된 생태계에서 업데이트를 조율하는 것이 얼마나 어려운 과제인지를 잘 보여줍니다.

책임 있는 공개(Responsible Disclosure)

CVE-2024-52911의 처리는 책임 있는 공개의 모범 사례로 평가받습니다. 2024년 11월 비공개 보고 이후, 비트코인 코어 개발자 피터 윌리(Pieter Wuille)는 불과 4일 만에 잠재적 공격자에게 취약점을 알리지 않기 위해 의도적으로 잘못된 라벨을 붙여 비밀리에 수정 사항을 제출했습니다. 이 수정 사항은 2024년 12월에 병합되어 2025년 4월에 배포되었습니다. 개발자들은 마지막 취약 버전인 28.x가 공식적으로 수명 종료(EOL)에 도달한 후인 2026년 5월까지 기다렸다가 이를 공개했습니다.

개발자 니클라스 괴게(Niklas Gögge)는 X를 통해 이것이 프로젝트의 약 2년간의 공개 보안 권고 중 "사상 첫 메모리 안전 문제"라고 언급하며 필즈의 책임 있는 공개 프로세스에 공을 돌렸습니다. 이 버그는 비트코인의 합의 규칙에 영향을 미치거나 온체인 변경을 유도하지 않았습니다.

이번 사건은 네트워크의 보안과 안정성을 보장하기 위해 노드 운영자가 소프트웨어를 최신 버전으로 업데이트하는 것이 얼마나 중요한지를 다시 한번 일깨워줍니다.

이 기사는 정보 제공 목적으로만 작성되었으며 투자 조언을 구성하지 않습니다.