글로벌 원격 모니터링·관리 및 IT 서비스 자동화 솔루션 제공 전문 기업 ‘엔에이블(N-able)’의 원격 모니터링·관리(RMM) 플랫폼 ‘엔센트럴(N-central)’에서 발견된 두 개의 심각한 취약점이 해커들에 의해 이미 사이버 공격에 악용되고 있다는 것으로 드러났다. 한국 기업들도 각별히 주의해야 한다.
미국 사이버보안 및 인프라 보안국(CISA)이 ‘이미 악용되고 있는 취약점(KEV)’ 목록에 이를 추가하고, 모든 온프레미스 고객에게 신속한 패치 적용을 권고했다. CISA는 연방 민간 행정부 기관에 오는 8월 20일까지 보완 조치를 완료하도록 지시했다.
이번 취약점은 CVE-2025-8875와 CVE-2025-8876이다. CVE-2025-8875는 안전하지 않은 역직렬화로 인해 인증된 사용자가 로컬에서 임의 코드를 실행할 수 있는 문제이며, CVE-2025-8876은 부적절한 입력 검증으로 인한 운영체제(OS) 명령 주입 취약점이다. 두 취약점 모두 인증이 필요해, 공격 초기 단계보다는 침투 이후 권한 상승과 내부 확장에 활용될 가능성이 크다.
엔에이블은 8월 13일 이 두 취약점을 해결한 엔센트럴 2025.3.1과 2024.6 HF2를 공개했다. 회사 측은 온프레미스 환경 고객에게 반드시 이 버전으로 업그레이드할 것을 요구했으며, 관리자 계정에는 다단계 인증(MFA) 적용을 강력히 권장했다. 릴리스 노트에 따르면 세부 기술 정보는 보안 관행에 따라 약 3주 후 공개될 예정이다.
CISA의 KEV 등록 내용에 따르면 CVE-2025-8875는 명령 실행으로 이어질 수 있는 역직렬화 취약점이며, CVE-2025-8876은 입력값 검증 부족으로 발생하는 명령 주입 문제다. 엔에이블은 일부 온프레미스 환경에서만 제한적인 악용 흔적을 확인했으며, 클라우드 호스팅 환경에서는 악용 증거가 발견되지 않았다고 밝혔다.
보안 전문가들은 인증이 필요한 구조 덕분에 무차별 대규모 공격 가능성은 낮지만, 계정 탈취나 피싱을 통해 자격 증명이 유출될 경우 위험도가 급격히 높아진다고 경고했다. 특히 인터넷에 노출된 엔센트럴 수가 적지 않아, 사전에 인증 정보를 확보한 공격자가 내부 네트워크와 고객사 환경을 광범위하게 장악할 수 있다.
RMM 플랫폼은 MSP 운영의 핵심이며, 인증된 상태에서 코드 실행이나 명령 주입이 가능하다면 공격자는 대규모 스크립트 배포, 예약 작업 변경, 고객 네트워크로의 측면 이동, 모니터링 에이전트 변조 등 심각한 행위를 수행할 수 있다.
엔에이블은 글로벌 MSP와 IT 서비스 제공업체를 위한 원격 모니터링·관리(RMM) 및 IT 서비스 자동화 솔루션을 제공하는 전문 기업이다. 본사는 미국 노스캐롤라이나에 있으며, 전 세계 파트너와 고객 네트워크를 통해 중소기업부터 대기업까지 다양한 규모의 IT 인프라를 지원하고 있다. 대표 제품으로 엔센트럴과 엔에이블 RMM이 있으며, 사이버보안, 백업, 패치 관리, 원격 지원 등 MSP 운영에 필수적인 기능을 통합 제공해 효율성과 보안성을 강화하는 데 중점을 두고 있다.
보안전문가들은 패치를 당장 적용하기 어렵다면 인터넷 노출 차단, MFA 강화, 관리자 계정 및 세션 교체, 관리자 활동 로그 집중 모니터링 등 임시 대응책을 반드시 병행해야 한다고 조언했다. 또한 세부 기술 정보가 공개되면 악용 시도가 늘어날 수 있으므로, 그 전에 모든 보안 조치를 완료하는 것이 중요하다고 강조했다.
[2025 대한민국 사이버 보안 컨퍼런스: 보안담당자 초대-7시간 보안교육이수!]
(제13회 KCSCON 2025 / 구 PASCON)
※ Korea Cyber Security Conference 2025
-2025년 9월 16일(화) / 세종대 컨벤션센터 전관-
공공∙기업 정보보안 책임자/실무자 1,200여명 참석!
-2025년 하반기 최대 정보보호 컨퍼런스&전시회-
△주최: 데일리시큐
△일시: 2025년 9월 16일 화요일(오전9시~오후5시)
△장소: 세종대 컨벤션센터 전관
△참석대상: 공공기관·공기업·정부산하기관·금융기관·의료·교육·일반기업
개인정보보호 및 정보보호 담당자, IT담당자 등 1,500여 명
(기관 및 기업에서 정보보호 책임자/실무자만 참석 가능)
*학생, 프리랜서, 보안과 관련없는 분들은 참석 불가.
△솔루션 전시회: 국내·외 최신 개인정보보호 및 정보보호 솔루션(40여개 기업 참여)
△보안교육인증: 공무원 정보보호/개인정보보호 교육 및 자격증 유지 교육시간 7시간인정
△사전등록 필수: 클릭
(사전등록후, 소속 및 업무확인후 최종 참석확정문자 보내드립니다.
참석확정 문자와 메일 받은 분만 참석 가능)
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
![[GAM] '서학개미 픽' 크레도 ①구리선에 칩 붙였더니 빅테크 줄섰다](https://img.newspim.com/etc/portfolio/pc_portfolio.jpg)
![[해커스토익] 김동영의 토익 적중 예상문제](https://image.mediapen.com/news/202508/news_1036151_1755129471_m.jpg)
