백업 서버는 여전히 공격자들의 주요 타깃
글로벌 백업 솔루션 기업 비임(Veeam)이 6월 17일, 자사 대표 제품인 Veeam Backup & Replication(VBR)에서 발견된 치명적인 원격 코드 실행(RCE) 취약점을 비롯한 보안 취약점 다수에 대해 긴급 보안 업데이트를 배포했다. 이번 취약점은 도메인에 가입된 환경에서 일반 도메인 사용자도 백업 서버에 악성 코드를 원격으로 실행할 수 있는 심각한 보안 위험으로, 현재 즉각적인 조치가 요구된다.
■CVE-2025-23121 취약점 개요
이 취약점은 CVE-2025-23121로 등록됐으며, CVSS 기준 9.9점의 심각도로 평가된다. 도메인에 가입된 환경의 VBR 서버에 대해, 단순한 도메인 사용자 권한만으로도 공격자가 백업 서버에서 원격 코드 실행이 가능하다. 비임은 해당 취약점이 복잡한 조건 없이 저위험 환경에서도 쉽게 악용될 수 있다고 설명했다. 이번 결함은 VBR 12 버전 이상이 영향을 받으며, 6월 17일 새로 공개된 버전 12.3.2.3617에서 해당 문제가 해결됐다.
■반복되는 도메인 환경 취약점
이 취약점은 비임 VBR 도메인 기반 환경에서 반복적으로 발생하고 있는 보안 위협의 연장선에 있다. 지난 3월에는 CVE-2025-23120 취약점이 패치됐지만, 전문가들은 당시 수정 방식이 우회 가능하다고 지적했다. 또 2024년 9월 공개된 CVE-2024-40711 취약점은 실제 랜섬웨어 공격자들이 활발히 악용하며, Frag, Akira, Fog 랜섬웨어 배포에 이용됐다.
랜섬웨어 조직들은 백업 데이터를 삭제한 뒤 복원 불능 상태에서 공격을 진행하기 위해 VBR 서버를 선제적으로 타깃으로 삼아 왔다. 이는 기존 백업 시스템의 구조적 취약점을 노린 대표적인 수법이다.
비임 측은 해당 취약점의 핵심 원인이 마이크로소프트의 폐기된 BinaryFormatter를 사용한 역직렬화(Deserialization)라고 밝혔다. 비임은 이 방식의 위험성을 인지하고 블랙리스트 방식을 통해 위험 클래스 로드를 차단하고자 했으나, 보안 전문가들은 이 방식이 구조적으로 부족하다고 지적했다.
보안업체 워치타워(watchtower) 관계자는 “블랙리스트 방식만으로는 근본적인 방어가 불가능하다”며, 비임이 궁극적으로 이러한 구식 직렬화 방식을 완전히 제거해야 한다고 주장했다. 비임은 오는 하반기 출시 예정인 버전 13에서 BinaryFormatter를 완전히 제거할 예정이라고 밝혔다.
■함께 패치된 추가 취약점들
이번 업데이트에서는 CVE-2025-23121 외에도 2개의 주요 취약점이 추가로 수정됐다.
-CVE-2025-24286 (고위험, CVSS 7.2점): Backup Operator 권한을 통한 원격 코드 실행이 가능했던 문제.
-CVE-2025-24287 (중간위험, CVSS 6.1점): Veeam Agent for Windows에서 권한 상승이 가능했던 로컬 취약점. 해당 문제는 버전 6.3.2.1205에서 해결됐다.
■백업 서버는 여전히 공격자들의 주요 타깃
보안 전문가들은 백업 서버가 기업 내부에서 가장 효율적인 공격 지점으로 간주되고 있다고 경고한다. 실제로 Rapid7은 2024년 수행한 사고 대응 조사 중 약 20%에서 비임 시스템이 직접 해킹되거나 활용됐다고 밝혔다.
워치타워는 기존 블랙리스트 방식을 근본적으로 재고해야 한다고 강조했다. 비임이 차기 버전에서 BinaryFormatter를 완전히 제거하겠다고 밝힌 점은 긍정적인 변화지만, 그 전까지는 실질적인 방어 전략이 반드시 필요하다.
사용기업이 있다면 즉시 아래 보안 조치를 적용해야 한다.
-즉시 업데이트: VBR은 12.3.2.3617, Veeam Agent는 6.3.2로 즉시 업데이트할 것.
-도메인 격리: 백업 서버를 도메인에 가입시키지 말고 별도의 AD 포리스트에서 운영하거나, 독립적인 접근 통제 환경을 구성해야 한다.
-접근 권한 최소화: Backup Operator 권한은 최대한 제한하고, 관리자 계정에는 반드시 다중 인증(MFA)을 적용할 것.
-네트워크 격리: 백업 서버는 인터넷과 직접 연결하지 말고, 엄격하게 접근 제어된 내부 네트워크에서만 운용해야 한다.
-장기적 대비: VBR 13 버전의 정식 출시와 함께 근본적인 구조 개선에 따라 마이그레이션 계획을 수립해야 한다.
보안 전문가들은 백업 서버는 침해 시 기업 전체 데이터 회복에 치명적인 영향을 미치므로, 복원 불능을 방지하기 위한 불변 백업 전략과 네트워크 세분화 역시 반드시 고려돼야 한다고 조언했다.
비임의 이번 보안 취약점은 단순한 기술적 결함을 넘어, 기업의 핵심 백업 인프라가 공격자에게 얼마나 매력적인 표적인지를 다시 한 번 상기시키고 있다. 즉각적인 보안 업데이트와 근본적인 아키텍처 재검토, 차세대 백업 보안 전략 수립 없이는 앞으로도 비슷한 위협이 반복될 수밖에 없다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
![[긴급] 비욘드트러스트 원격지원 제품, 인증 없는 RCE 취약점 발견…위협 심각](https://www.dailysecu.com/news/photo/202506/167118_195885_527.jpg)
