이반티(Ivanti) 커넥트 시큐어(Connect Secure) VPN 장비에서 발견된 치명적인 취약점(CVE-2025-22457)이 중국 연계 해커 조직에 의해 적극적으로 악용되고 있는 것으로 드러났다.
사이버보안 및 인프라 보안국(CISA)은 해당 취약점이 실제 공격에 사용되고 있다며 긴급 경고를 발령했고, 사이버보안 업체 맨디언트(Mandiant)와 구글 위협 인텔리전스 그룹(GTIG)은 이번 공격의 배후로 ‘UNC5221’이라는 정찰 활동 중심의 해킹 조직을 지목했다.
이번 취약점은 인증되지 않은 공격자가 원격에서 임의의 코드를 실행할 수 있도록 하는 스택 기반 버퍼 오버플로우(Stack-based buffer overflow) 취약점이다. 커넥트 시큐어, 폴리시 시큐어(Policy Secure), ZTA 게이트웨이(Gateway) 등 대형 조직과 정부 고객이 사용하는 네트워크 장비에 영향을 주는 것으로 확인됐다.
이반티는 2월 11일 해당 취약점에 대한 보안 패치를 배포했으나, 당시에는 해당 문제가 원격 코드 실행으로 악용될 수 있다는 사실을 인지하지 못했다고 밝혔다. 이후 맨디언트와 공동으로 진행한 조사를 통해 이 취약점이 실제로 정교한 수법으로 악용되고 있다는 사실이 드러났다.
해킹 조직 UNC5221은 3월 중순부터 본격적으로 공격을 시작한 것으로 보인다. 해커들은 침투에 성공한 장비에 ‘트레일블레이즈(TRAILBLAZE)’라는 인메모리 드로퍼(Dropper)와 ‘브러시파이어(BRUSHFIRE)’라는 패시브 백도어(Passive Backdoor)를 설치했으며, 과거에도 발견된 바 있는 ‘스폰(SPAWN)’ 악성코드 생태계를 활용한 것으로 확인됐다.
이번에 영향을 받는 제품은 커넥트 시큐어 22.7R2.5 이하 버전, 지원이 종료된 펄스 커넥트 시큐어(Pulse Connect Secure) 9.1x, 폴리시 시큐어 22.7R1.3 이하 버전, ZTA 게이트웨이 22.8R2 이하 버전이다. 커넥트 시큐어 제품군은 2월에 패치가 제공됐고, 폴리시 시큐어와 ZTA 게이트웨이의 패치는 각각 4월 21일, 4월 19일 배포될 예정이다.
이반티는 고객들이 자사 무결성 검사 도구를 활용해 시스템이 침해되었는지를 확인하고, 감염이 확인된 경우 장비를 초기화한 뒤 최신 보안 업데이트를 재설치할 것을 권고했다. 특히 더 이상 지원되지 않는 제품을 사용하는 고객에 대해서는 자체 책임이라는 점을 거듭 강조하며, 기술 지원이나 코드 수정은 제공하지 않는다고 밝혔다.
CISA는 이번 취약점을 ‘악용된 알려진 취약점 목록’(KEV Catalog)에 추가하고, 빠른 조치를 취할 것을 모든 조직에 권고했다. 구글과 맨디언트는 해당 해커 조직이 2023년부터 이반티 제품을 포함한 엣지 장비를 집중적으로 노려왔으며, 다양한 국가와 산업군을 대상으로 활동하고 있다고 경고했다.
맨디언트는 “UNC5221은 사이버롬(Cyberoam), QNAP 장비, ASUS 라우터 등 침해된 네트워크 장비를 경유지로 삼아 본래 공격 근원을 숨기고 있다”고 분석했다. 이들은 탐지를 피하기 위해 합법적인 컴포넌트를 변조해 악성코드로 사용하거나, 웹 서버가 비정상적으로 종료되도록 유도하는 방식 등 다양한 기법을 사용한 것으로 나타났다.
사이버보안 전문기업 워치타워(watchTowr)의 CEO 벤자민 해리스(Benjamin Harris)는 “임무 수행에 핵심적인 장비의 취약점이 계속해서 실제 공격에 악용되고 있다는 사실은 업계 전체가 보다 능동적으로 대응해야 함을 보여준다”며 “각 조직이 자체 분석을 수행하고, 취약점의 위험성과 악용 가능성에 대해 독립적인 검토를 통해 보안 결정을 내려야 한다”고 강조했다.
이번 사건은 국가 차원의 정교한 사이버 공격이 여전히 엣지 장비를 주요 타깃으로 삼고 있음을 다시금 입증한 사례다. 전문가들은 보안 업데이트의 신속한 적용, 침해 지표에 대한 모니터링, 취약한 장비의 조속한 교체가 장기적인 방어 전략의 핵심이라고 강조하고 있다.
[K-CTI 2025] 국내 최대 사이버위협·침해사고대응 인텔리전스 컨퍼런스 개최(7시간 교육이수)
-주최: 데일리시큐
-일시 2025년 4월 15일(화) / 오전 9시~오후 5시
-장소: 한국과학기술회관 국제회의실 및 로비
-인원: 정보보호 실무자 700여 명(현업 보안책임자/실무자만 참석 가능)
-참가비: 현업 보안실무자는 무료
-교육이수: 공무원 및 일반기업 보안교육 7시간/CPPG, CISSP 등 교육이수 7시간 인정
-등록마감: 2025년 4월 13일 오후 5시까지
-참석불가: 학생, 프리랜서, 무소속, 정보보호 업무와 상관없는 자는 참석불가
-참관 및 참가기업 문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com
-사전등록 필수:클릭
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★
![[人사이트]데이비드 셰퍼드 일루미오 아태 부사장, “사이버 침해 100% 막을 수 없다면…'세분화'로 피해 최소화”](https://img.etnews.com/news/article/2025/04/06/news-p.v1.20250406.870169a9f46a400183e7664783f9a077_P3.jpg)
