IT 관리 및 원격 접속 소프트웨어를 제공하는 미국 커넥트와이즈(ConnectWise)가 자사의 원격 지원 툴인 스크린커넥트(ScreenConnect)의 클라우드 버전에서 국가 배후 해커의 공격을 받은 사실을 공식 확인했다.
이번 침해 사고는 2025년 5월에 확인됐으며, 클라우드 기반 스크린커넥트 인스턴스를 사용하는 일부 고객에게 영향을 미쳤다. 커넥트와이즈 측은 공격 배후에 고도화된 기술을 가진 국가 지원 해킹 조직이 있다고 판단했다.
커넥트와이즈는 이번 공격이 CVE-2025-3935로 추적되는 고위험 취약점을 악용한 것으로 파악하고 있다. 해당 취약점은 25.2.3 버전 이하의 스크린커넥트에서 발견된 것으로, ASP.NET의 ViewState 처리 과정에서 역직렬화(deserialization)가 안전하지 않게 구현된 데서 비롯됐다. 공격자는 시스템 수준 권한을 가진 상태에서 서버의 머신 키(machine key)를 탈취해 악성 페이로드를 삽입, 원격 코드 실행(RCE)을 가능하게 만들 수 있다.
회사 측은 사건을 인지한 직후 사이버 보안 전문 기업인 맨디언트(Mandiant)를 포렌식 조사에 투입했으며, 네트워크 전반에 걸쳐 모니터링 강화 및 보안 설정 강화를 완료했다고 밝혔다. 현재까지 고객 인스턴스에서는 추가적인 이상 행위가 발견되지 않았다고 덧붙였다.
문제가 된 취약점은 2025년 4월 24일 배포된 25.2.4 버전에서 패치되었으며, 이 버전부터 ViewState 기능이 비활성화되고 해당 기능에 대한 의존성도 제거됐다. 커넥트와이즈는 특히 온프레미스(자체 설치형) 환경에서 스크린커넥트를 운영 중인 고객들에게 즉시 최신 버전으로 업데이트할 것을 강력히 권고하고 있다.
보안 전문가들은 이번 사례를 통해 다음과 같은 대응 전략을 강조했다. 첫째, 취약점이 확인된 경우 신속한 패치 적용이 중요하다. 둘째, 서버 접근 권한을 최소화하고 접근 제어를 강화해야 하며, 다중 인증(MFA)을 도입하는 것도 효과적인 방어 수단이다. 셋째, 시스템에 대한 정기적인 보안 점검과 로그 분석을 통해 이상 징후를 사전에 감지해야 한다. 마지막으로, 침해 사고 발생 시 신속히 대응할 수 있는 사고 대응 계획(IR Plan)을 마련하고 테스트하는 것이 필요하다.
원격 접속 솔루션을 운영 중인 기업은 이러한 고도화된 위협 행위자에 대응하기 위해 보안 전략을 사전에 수립하고, 지속적으로 업데이트해야 할 시점이다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
![[사설] 위성인터넷, 통신주권·생태계 짚어야](https://img.etnews.com/news/article/2025/05/30/news-a.v1.20250530.1e9dd3ab1ee34a178c3ef67a4cabb0d0_T1.jpg)
![[속보] 현대차, 러시아 판매 7개 차종 약 10만대 리콜 결정](https://www.tfmedia.co.kr/data/photos/20250522/art_17486732659163_23f9f1.png)
![개인정보위 "디올·티파니 개인정보 유출 조사 중" [디지털포스트 모닝픽]](https://www.ilovepc.co.kr/news/photo/202506/54623_148823_5942.jpeg)
