보안 연구팀 '칼리프(Calif)'와 '오픈AI 코덱스(OpenAI Codex)'가 2026년 6월, 고위험 서비스 거부 취약점 CVE-2026-49975를 공개하고 이를 'HTTP/2 폭탄(HTTP/2 Bomb)'이라고 명명했습니다. 이 취약점은 두 가지 알려진 공격 기법을 연쇄적으로 결합한 것입니다. HPACK 압축 폭탄을 사용해 서버 측에서 대규모 메모리 증폭을 유발한 다음, HTTP/2 흐름 제어의 제로 바이트 윈도우를 이용해 할당된 모든 메모리를 해제하지 못하게 차단합니다. 연구진의 실측 결과, 일반 가정용 광대역 클라이언트 한 대로 20초 안에 대상 서버의 32GB 메모리를 모두 소진할 수 있으며, 영향을 받는 소프트웨어는 nginx, Apache HTTPd, Microsoft IIS, Envoy, Cloudflare Pingora를 포함하며, 인터넷에 노출된 취약 호스트는 88만 대를 넘습니다.
각 업체는 협력 공개를 마치고 패치를 순차적으로 배포하고 있습니다. nginx는 1.29.8 이상 버전으로 업그레이드하면 이 문제가 해결되며, Apache mod_http2는 v2.0.41+로 업데이트해야 합니다. 당장 업그레이드가 어려운 관리자는 HTTP/2를 임시로 비활성화하는 방안을 고려할 수 있습니다. 이번 취약점의 독특한 점은 발견 과정에 있습니다. 연구팀이 OpenAI Codex의 도움을 받아 취약점을 발굴했으며, 이는 AI 코딩 에이전트가 실질적인 보안 연구에 참여해 CVE 인정을 받은 초기 사례 중 하나입니다. 연구자 Quang Luong, Jun Rong, Duc Phan이 전체 기술 세부 사항을 블로그에 게시했습니다.