[단독] 중국 해커, 이반티 취약점 악용해 4월부터 한국 기업 공격 정황…SKT·KT·SK계열사 10여 곳 긴급점검 필요

이번 공격, ‘APT Down’ 문건이 다룬 사건이나 지난 SKT 해킹 사건과는 전혀 다른 별개의 공격…파장 클 듯

새로운 위협 정황이 포착됐다. 이번주 국내 CTI 기반 보안기업에서 분석한 비공개 위협 인텔리전스 보고서에 따르면, 중국 해킹 조직‘UNC5221’이 이반티(Ivanti) 커넥트 시큐어 장비의 CVE-2025-22457 취약점을 악용해 2025년 4월부터 한국 기업과 기관을 공격한 정황이 포착됐다. 피해 추정 대상에는 SKT, SK 계열사 10곳 이상, KT, 전자결제망 운영사 KSNET, 그리고 베트남 정부기관까지 포함돼 있어 파장이 예상된다.

특히 이번에 확인된 CVE-2025-22457 취약점 악용 공격은 지난 8월 8일 해킹 전문지 프랙(Phrack)에 공개된 ‘APT Down–The North Korea Files’에서 다룬 한국 대상 APT 공격과는 성격이 전혀 다른 사건이다. ‘APT Down’ 문건이 중국 혹은 북한 해커들의 장기간 내부 작업환경과 공격 도구를 드러낸 것이라면, 이번 중국 해커 조직의 공격은 이반티 장비 취약점을 무기로 삼아 국내외 기업과 기관을 직접 겨냥한 별도의 침해사고로 봐야 한다. 현재 KISA도 이건에 대해 조사를 진행중이다.

문제가 된 CVE-2025-22457은 이반티 커넥트 시큐어, 폴리시 시큐어, ZTA 게이트웨이 제품군에 존재하는 스택 기반 버퍼 오버플로우 취약점이다. 인증 없이도 원격에서 악성 코드를 실행할 수 있어 심각도가 9.8에 달한다. 이반티는 올해 2월 보안 패치를 발표했지만, 불과 한 달 뒤부터 전 세계에서 실제 악용 사례가 관찰됐다. 미국 사이버안보국(CISA)도 해당 취약점을 4월 초 ‘실제 공격에 사용되는 취약점(KEV)’ 목록에 긴급 추가한 바 있다.

공격 방식은 주로 특수 조작된 HTTP 요청을 통해 장비의 메모리를 덮어쓰고, 이를 발판으로 내부망 진입이나 악성코드 설치로 이어지는 것으로 알려졌다. 네트워크 경계에 위치한 VPN 장비 특성상 한 번 뚫리면 내부 시스템 전반이 노출되는 위험이 있다.

구글 클라우드 위협 인텔리전스와 맨디언트, 글로벌 보안업체들의 분석에 따르면, 이번 공격에는 중국 연계 해킹 조직 ‘UNC5221’이 연루된 것으로 보인다. 이 그룹은 과거에도 이반티 장비 제로데이를 집요하게 노린 전력이 있으며, 최근에는 TRAILBLAZE 로더와 BUSHFIRE 백도어 같은 맞춤형 악성 도구를 사용해 왔다. 일본 JPCERT/CC 또한 7월 분석에서 MDifyLoader라는 신규 악성 로더와 코발트 스트라이크 주입이 포착됐다고 경고했다.

■노출된 네트워크 지표들…SK텔레콤, SK계열사, KT 등 포함

보고서에는 공격자가 해킹 후 중간 거점으로 활용한 것으로 보이는 국내 통신사 및 대기업 네트워크 기반 IP가 다수 포함돼 있다. (AS 번호와 IP 주소. 일부 X처리)

-SK텔레콤(AS96XX) : 220.103.XXX[.]4, 223.39.XX[.]XX

-SK㈜(AS100XX) : 168.154.XX[.]21, 182.50.XX[.]XXX

-KT(AS47XX) : 147.6.90[.]XXX, 147.6.XX[.]XXX, 147.6.XXX[.]2XX

-해외 VPS(Vultr, AS204XX) : 158.247.XXX[.]XXX

호스트명 vswingext.sktelecom[.]com, mvpn.kt[.]com도 로그 상에서 확인됐다. 다만 전문가들은 이러한 기록이 반드시 해당 기업이 직접 침해당했다는 의미는 아니며, 공격자가 탈취한 장비나 네트워크를 우회 경로로 악용했을 가능성이 크다고 설명한다.

하지만 공격에 연루된 네트워크 지표를 확인결과, 공격자가 사용한 명령·제어(C2) 서버나 중계지, 혹은 해킹 후 악용된 시스템의 IP가 위 기업들의 네트워크 대역에서 발견됐다는 것은 확실하다. 즉 공격자가 위 기업들의 장비를 해킹해 거점으로 사용했거나, 언급된 기업들이 운영하는 인터넷 회선을 통해 VPS(가상서버) 등이 악용됐을 가능성이 크다.

특히 이번 공격 정황에서 SK텔레콤 관련 네트워크 대역이 다시 등장한 점은 주목할 대목이다. 지난 SKT 해킹 사건 이후 합동조사단은 주로 BPFDoor 악성코드 탐지와 분석에 집중해 왔는데, 이 과정에서 새로운 이반티 취약점 기반 침투 시도를 충분히 식별하지 못했을 가능성이 제기되고 있다.

익명을 요구한 보안 전문가는 “조사가 특정 악성코드에 편중되면, 해커들이 다른 경로로 침투할 때 이를 간과할 수 있다”며, 엣지 장비 전반에 대한 다층적 점검과 상시 위협 헌팅이 필요하다고 지적했다.

■4월 초부터 한국과 베트남 비롯 전 세계적으로 피해 보고 이어져

이반티가 패치를 공개한 것은 2월 11일이었으나, 불과 몇 주 만인 3월 중순부터 중국 해커들의 공격 시도가 목격됐다. 4월 초에는 전 세계적으로 피해 보고가 이어졌고, 한국과 베트남에서도 동일한 공격 전술이 관찰됐다. 섀도서버의 스캔 자료에 따르면 당시 인터넷에 노출된 취약 장비는 5천 대 이상으로 집계됐다.

이번 공격이 더욱 우려되는 이유는, 해커들이 단순한 일회성 침투가 아니라 엣지 장비 자체를 장기간 은신지로 활용한다는 점이다. 이반티 장비에 설치된 백도어는 평소에는 잠복하다 특정 조건에서만 작동해 탐지가 어렵다. 전문가들은 이런 방식이 조직 내부에 오랫동안 머무르며 정보 유출이나 2차 공격으로 이어질 수 있다고 경고한다.

전문가들은 이번 사건을 계기로 “VPN·보안 게이트웨이 장비는 곧 조직의 성문”이라는 사실을 다시 상기해야 한다고 강조한다. 단순히 패치를 적용하는 것만으로는 충분하지 않으며, 무결성 점검 도구를 활용해 장비 상태를 정기적으로 검증하고, 의심스러운 네트워크 흐름을 면밀히 모니터링해야 한다는 것이다. ‘은밀한 침해’ 가능성을 항상 염두에 두고 장기 로그 분석과 행위 기반 탐지를 병행해야 한다는 목소리가 높다.

국내 대기업과 금융망, 통신사가 중간 거점으로 지목된 만큼, 한국 사회 전반의 보안 대응 수준을 점검할 필요가 있다. 전문가들은 “공격자가 이미 장비를 거점화했을 가능성이 높은 만큼, 전면적 점검과 조기 대응 체계 강화가 절실하다”고 경고했다.

■이반티 장비 제거했다고 해도 위협은 여전해

한편 이반티 장비를 네트워크에서 제거했다고 해서 위협이 곧바로 사라지는 것은 아니다. 전문가들에 따르면, 이번 공격에 사용된 장비는 VPN 게이트웨이 역할을 하는 만큼, 이미 공격자가 내부 계정과 인증서를 탈취했거나 내부 서버에 은닉된 백도어를 심어뒀을 가능성을 배제할 수 없다. 특히 UNC5221 조직이 사용해온 메모리 기반 수동형 백도어나 계정 탈취 전술은 장비 제거 이후에도 합법 사용자인 것처럼 내부망에 재접속할 수 있는 위험을 남긴다. 이 때문에 단순히 장비를 걷어내는 것만으로는 보안 위협을 해결할 수 없다는 지적이다.

따라서 기업은 장비를 제거한 뒤에도 반드시 메모리 덤프와 로그를 포렌식 분석하고, 관련된 네트워크 구간을 정밀 점검해야 한다. 또한 VPN·AD 계정을 포함한 모든 관리자 비밀번호와 인증 체계를 교체하고, 다단계 인증을 적용하는 것이 필수적이다. 위협 인텔리전스에서 제공된 IoC를 내부망과 대조해 침투 흔적을 추적하고, 수개월간 이상 행위 모니터링을 병행해야 한다는 조언도 이어졌다. 전문가들은 “장비 제거는 시작일 뿐, 사후 정리 과정에서 계정·네트워크·포렌식이 동시에 진행돼야만 재침투를 막을 수 있다”고 강조했다.

해당 기업들은 KISA 및 위협 인텔리전스 기업들과 협업해 정확히 사태를 파악하고 대응에 나서야할 것으로 보인다.

[KCSCON 2025 개최] 하반기 최대 사이버 보안 컨퍼런스: 보안담당자 초대-7시간 보안교육이수!]

(제13회 KCSCON 2025 / 구 PASCON)

※ Korea Cyber Security Conference 2025

-2025년 9월 16일(화) / 세종대 컨벤션센터 전관-

공공∙기업 정보보안 책임자/실무자 1,200여명 참석!

-2025년 하반기 최대 정보보호 컨퍼런스&전시회-

△주최: 데일리시큐

△후원: 과학기술정보통신부, 한국인터넷진흥원, 한국정보보호산업협회

△일시: 2025년 9월 16일 화요일(오전9시~오후5시)

△장소: 세종대 컨벤션센터 전관

△참석대상: 공공기관·공기업·정부산하기관·금융기관·의료·교육·일반기업