Posted On 2026년 02월 18일

프로그래밍 게임 Screeps에서 발견된 원격 코드 실행 취약점

nobaksan 0 comments
여행하는 개발자 >> 기술 >> 프로그래밍 게임 Screeps에서 발견된 원격 코드 실행 취약점
a person sitting at a desk with a computer

코드를 작성하여 유닛을 제어하는 게임 Screeps에서 심각한 보안 취약점이 발견되었습니다. 재미와 보안 사이의 딜레마를 살펴봅니다.

Screeps란?

Screeps는 JavaScript로 AI를 작성하여 게임 유닛을 제어하는 MMO 전략 게임입니다. 플레이어가 작성한 코드가 서버에서 실행됩니다.

발견된 취약점

플레이어가 작성한 악성 코드가 샌드박스를 탈출하여 서버에서 임의 코드를 실행할 수 있는 RCE(Remote Code Execution) 취약점이 발견되었습니다.

기술적 세부사항

  • VM2 샌드박스의 우회 가능
  • 프로토타입 오염(Prototype Pollution) 활용
  • 서버 측 Node.js 환경에 접근

교훈

  1. 사용자 코드 실행은 위험: 완벽한 샌드박스는 없습니다
  2. VM2는 폐기됨: 보안 문제로 더 이상 유지보수되지 않습니다
  3. 대안: isolated-vm, WebAssembly, 또는 별도 프로세스 격리

개발자 권고

사용자 코드를 실행해야 한다면, 컨테이너 격리나 WebAssembly 런타임 사용을 고려하세요. 신뢰할 수 없는 코드는 항상 최악의 경우를 가정해야 합니다.



이 포스팅은 쿠팡 파트너스 활동의 일환으로, 이에 따른 일정액의 수수료를 제공받습니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다

Related Post

고객센터는 죽었다, 고객센터가 문제다

기술이 사람을 대신하는 시대에, 가장 인간적인 영역으로 남아 있던 고객 지원마저도 냉혹한 진실을 마주하게 됐다.…

디지털 타자기의 낭만: 방해 없는 글쓰기의 기술적 미학

글을 쓰는 행위는 본래 고독한 작업이다. 하지만 현대에는 그 고독을 방해하는 요소들이 너무 많다. 알림,…

디지털 요새의 마지막 문: 잠금 모드의 딜레마

어린 시절 도둑이 들까 봐 현관문에 자물쇠를 두 개 달던 기억이 있다. 하나는 평범한 실내용,…