대만 보안 기업 TeamT5, 이반티 VPN 취약점 통한 중국 APT 공격 포착…SKT 해킹과 연관 가능성 제기
이반티(Ivanti)가 자사의 엔드포인트 관리 솔루션인 ‘이반티 엔드포인트 매니저 모바일(Endpoint Manager Mobile, EPMM)’의 두 가지 심각한 보안 취약점에 대한 보안 업데이트를 긴급 배포했다.
이 두 가지 제로데이(CVE-2025-4427, CVE-2025-4428) 취약점은 실제 공격에 악용되고 있으며, 연쇄적으로 활용될 경우 인증 없이 원격 코드 실행(RCE)이 가능해지는 치명적인 보안 위협을 초래한다.
먼저 CVE-2025-4427은 EPMM의 API 구성 요소에 존재하는 인증 우회 취약점으로, 공격자가 인증 없이 보호된 리소스에 접근할 수 있도록 한다. 여기에 더해 CVE-2025-4428은 악의적으로 조작된 API 요청을 통해 임의의 코드를 실행할 수 있는 원격 코드 실행 취약점이다. 이 두 가지 취약점이 함께 악용되면 공격자는 외부에서 시스템 제어권을 획득할 수 있다.
이반티는 해당 취약점을 수정한 EPMM의 보안 패치 버전으로 11.12.0.5, 12.3.0.2, 12.4.0.2, 12.5.0.1을 제공하고 있으며, 모든 온프레미스 EPMM 사용자에게 신속한 업데이트 적용을 강력히 권고하고 있다.
이반티는 이번 취약점들이 오픈소스 라이브러리 두 개와 연관되어 있다고 밝혔지만, 정확한 라이브러리 이름은 공개하지 않았다. 다만 이 문제는 클라우드 기반 제품인 ‘이반티 뉴런스 포 MDM(Ivanti Neurons for MDM)’, ‘이반티 센트리(Ivanti Sentry)’ 및 기타 제품에는 영향을 주지 않는다고 밝혔다.
이와 함께 이반티는 또 다른 보안 취약점 두 가지에 대해서도 보안 업데이트를 발표했다. 첫 번째는 자사의 IT 서비스 관리 솔루션인 ‘뉴런스 포 ITSM(Neurons for ITSM)’에 존재하는 인증 우회 취약점(CVE-2025-22462)으로, 인증되지 않은 공격자가 관리자 권한을 획득할 수 있는 위험이 있다. 두 번째는 클라우드 서비스 어플라이언스(CSA)의 기본 자격 증명 취약점(CVE-2025-22460)으로, 로컬 인증된 공격자가 권한을 상승시킬 수 있다.
◆대만 사이버보안 기업 TeamT5, 이반티 VPN 취약점 통한 중국 APT 공격 포착…SKT 해킹과 연관 가능성 제기
한편 최근 몇 년간 이반티는 VPN 어플라이언스, ICS, ZTA 게이트웨이 등 다양한 제품군에서 제로데이 취약점이 발견돼 공격에 이용돼 왔다. 미국 FBI와 CISA는 지난 1월에도 이반티 클라우드 서비스 어플라이언스(CSA)의 구버전 취약점이 여전히 공격에 이용되고 있다는 공동 경고문을 발표한 바 있다.
대만 보안기업 TeamT5(팀티파이브)가 이반티(Ivanti) VPN 장비의 제로데이 취약점을 악용한 중국 연계 해킹 캠페인을 포착했다고 밝혔다. TeamT5는 이번 공격이 한국을 포함한 아시아·유럽·북미 12개국 이상의 기업을 겨냥했으며, 실제 피해가 발생한 것으로 분석했다. 특히 SK텔레콤이 이번 유심 정보 해킹 사고를 겪은 것과 이번 이반티 취약점 공격 간에 밀접한 관련성이 제기되고 있다.
TeamT5는 분석을 통해 이반티 커넥트 시큐어(Connect Secure) VPN 장비의 두 가지 취약점(CVE-2025-0282, CVE-2025-22457)을 공격자가 악용했다고 전했다. 이 취약점은 스택 기반 버퍼 오버플로우로 인해 원격 코드 실행(RCE)이 가능하며, 보안 점수(CVSS)도 9.0에 달할 만큼 치명적인 수준이다. 공격자는 이 취약점을 통해 대상 네트워크에 침입한 뒤, 악성코드를 심고 장기간 은밀한 활동을 벌였다.
이번 공격에 사용된 악성코드는 ‘SPAWNCHIMERA’라는 이름의 모듈형 백도어 도구로 밝혀졌다. 이 악성코드는 설치 시 무결성 검사를 우회하는 ‘SPAWNANT’, 트래픽을 프록시로 우회하는 ‘SPAWNMOLE’, SSH 백도어인 ‘SPAWNSNAIL’, 포렌식 기록을 삭제하는 ‘SPAWNSLOTH’ 등 여러 기능을 탑재하고 있다. TeamT5는 공격자가 이 악성코드를 통해 패치된 장비에서도 지속적으로 시스템을 조작할 수 있도록 설계했다고 분석했다.
더불어 구글 클라우드 위협 인텔리전스(GTIG)와 맨디언트(Mandiant)도 이번 캠페인을 중국 정부와 연계된 APT 그룹 ‘UNC5221’의 소행으로 지목하고 있다. 이 그룹은 이전에도 이반티 취약점을 악용해 정부기관과 통신사를 공격해온 전력이 있으며, SPAWNCHIMERA와 유사한 악성코드를 활용해 장기간 은밀한 침투를 벌이는 방식으로 알려져 있다.
보안 전문가들은 이반티 장비를 사용하는 기업들은 즉시 보안 패치를 적용하고, 시스템 무결성 검사 도구인 ICT(Integrity Checker Tool)를 활용해 침해 여부를 확인해야 한다고 강조했다. 또한 침해 가능성이 있는 VPN 장비의 구성을 초기화하고, 장비 내부에 존재할 수 있는 은닉 악성코드 제거를 위한 포렌식 분석도 병행해야 한다고 조언했다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
