자, 이메일 알림이 울렸습니다. CISA가 ‘악용된 취약점(KEV)’ 목록에 새롭게 추가한 내용이었습니다. 단순한 목록 업데이트가 아닙니다. 전국의 시스템 관리자들에게 보내는 디지털 사이렌이자, 번쩍이는 비상등이죠. 이번 대상은 ConnectWise ScreenConnect와 놀랍도록 끈질긴 Microsoft Windows의 취약점입니다. 둘 중 하나라도 운영 중이라면, 정말이지 제대로 신경 써야 할 상황입니다.
ConnectWise ScreenConnect의 이번 CVE는 CVE-2024-1708로, CVSS 점수 8.4점이라는 ‘맛있는’ 점수를 자랑합니다. 이것은 일종의 ‘디지털 비밀 통로’와 같은 경로 조작(path traversal) 취약점입니다. 공격자는 특별한 인증 절차 없이도 보안 검사를 우회해 시스템에 침투할 수 있으며, 심지어 원격 코드 실행까지 가능합니다. 즉, 시스템에서 명령을 실행하고, 핵심 정보를 빼내거나, 중요 인프라를 마음대로 망가뜨릴 수 있다는 뜻입니다. ConnectWise는 2월에 패치를 배포했지만, KEV 목록 등재는 이 백도어가 이미 열리고 사용되었음을 시사합니다.
다음은 Microsoft Windows Shell의 CVE-2026-32202입니다. CVSS 점수는 4.3점으로 다소 낮아 보이지만, 숫자에 속으면 안 됩니다. 이는 ‘보호 메커니즘 실패’로, 보안 경비원이 졸고 있는 사이에 무단 공격자가 네트워크를 통해 자신을 속여 접근할 수 있게 만든 셈입니다. 더 놀라운 점은? 이 취약점은 2026년 4월에 패치되었다는 것입니다. 이건 정말 흥미로운 시간적 오류라고 할 수 있겠네요. 아마 2024년이나 2025년 패치 날짜를 잘못 기재한 것이겠지만, 중요한 사실은 이것이 현재 활발하게 악용되고 있다는 겁니다.
이 Windows 취약점은 이전 취약점인 CVE-2026-21510에 대한 패치가 불완전했기 때문에 발생했다는 점에서 특히 까다롭습니다. 서둘러 배포된 패치, 집요한 공격자, 그리고 제로데이와 함께 악용되는 공격은 우리에게 익숙한 패턴이 되고 있습니다. Akamai는 이러한 공격이 2025년 말부터 우크라이나와 EU 국가를 겨냥한 유명 러시아 해킹 그룹 APT28과 연계된 공급망 공격일 가능성이 높다고 지목했습니다. 이건 단순히 보여주기식 국가 간의 연극이 아닙니다. 이것은 타협된 서버 하나하나를 통해 지정학적 안정을 뒤흔들려는 시도입니다.
정말 소름 끼치는 점은 이러한 사건들이 고립된 사례가 아니라는 것입니다. ConnectWise 취약점인 CVE-2024-1708은 종종 또 다른 치명적인 버그인 CVE-2024-1709(인증 우회에 대한 무시무시한 10.0 CVSS 점수)와 연계되어 사용됩니다. 여러 위협 행위자들이 수년에 걸쳐 이들을 엮어 공격을 진행해왔습니다. 불과 이번 달에 Microsoft는 중국 기반 공격자인 Storm-1175가 메두사 랜섬웨어를 배포하는 특정 공격 클러스터와 이러한 공격들을 연관 지었습니다. 랜섬웨어. 이것이 바로 많은 침투 공격의 최종 목표입니다. 단순한 시스템 마비가 아니라, 노골적인 갈취가 목적인 거죠.
단순 패치를 넘어 이것이 중요한 이유
CISA의 KEV 목록은 단순한 권장 사항이 아닙니다. 연방 민간 행정부 기관들에게는 의무 사항입니다. 이들은 2026년 5월 12일까지 해당 취약점을 모두 패치해야 합니다. 하지만 이는 정부 네트워크를 훨씬 넘어섭니다. ConnectWise ScreenConnect는 널리 사용되는 원격 접속 도구입니다. 만약 이 도구가 침해된다면, 공격자들은 잠재적으로 수천 개의 기업, MSP, 그리고 그들의 고객 시스템으로 직접 통하는 통로를 얻게 됩니다. 공급망 보안에 미치는 영향은 엄청납니다. 우리는 이미 이런 사례를 보았습니다. 하나의 약한 고리, 하나의 악용된 RMM 도구가 전체 생태계를 무너뜨리는 것을요.
이것은 특정 제품의 내재적인 보안 결함만을 말하는 것이 아닙니다. 이것은 공격이 조율되는 방식의 근본적인 구조적 변화에 대한 이야기입니다. 공격자들은 더 이상 단 하나의 취약점만 찾지 않습니다. 그들은 공격 체인을 구축합니다. 복잡한 디지털 환경 속에서 가장 쉬운 경로를 찾고 있으며, 종종 그 경로는 우리가 일상적인 운영을 위해 의존하는 도구를 통과합니다. KEV 목록은 취약점이 악용되는 ‘시기’보다는, 더 크고 정교한 작전의 다음 발판이 되는 ‘시기’에 대한 정보가 되어가고 있습니다.
CISA는 2024년 2월 22일 CVE-2024-1709를 KEV 목록에 추가했습니다. 연방 민간 행정부(FCEB) 기관들은 2026년 5월 12일까지 필요한 패치를 적용하여 네트워크를 보호해야 합니다.
연방 기관들을 위한 임박한 2026년 마감일은 패치가 배포되더라도 실제 적용은 즉각적이거나 보편적이지 않다는 점을 극명하게 보여줍니다. 그리고 현재의 위협 환경에서 단 며칠의 지연만으로도 치명적일 수 있는데, 수개월 또는 수년은 말할 것도 없습니다. 여기서 얻을 수 있는 구조적 교훈은 명확합니다. 우리는 단순히 패치하고 잊어서는 안 됩니다. 지속적인 모니터링, 위협 헌팅, 그리고 이러한 개별적인 결함들이 어떻게 위험한 전체를 구성하는지 이해하려는 사전 예방적 접근 방식이 필요합니다.
🧬 관련 인사이트
자주 묻는 질문
KEV 카탈로그가 정확히 무엇인가요? KEV 카탈로그는 악성 행위자에 의해 실제로 악용되고 있음이 확인된 취약점 목록입니다. 알려진 위협에 대한 패치 우선순위를 정하는 것이 목적입니다.
이 취약점들로 인해 제가 영향을 받나요? ConnectWise ScreenConnect 또는 Microsoft Windows를 사용하고 최신 패치를 적용하지 않았다면 위험에 노출된 것입니다. 연방 기관은 마감일이 있지만, 모든 조직은 이러한 패치를 즉시 우선적으로 적용해야 합니다.
이것은 제로데이 취약점인가요? CVE-2024-1708 자체가 제로데이가 아닐 수는 있지만, KEV 목록에 있다는 것은 이미 악용되고 있다는 의미입니다. CVE-2026-32202는 이전 취약점에 대한 불완전한 패치 후 악용이 보고된 사례와 연관되어 있어 복잡한 공격 체인을 시사합니다. ‘제로데이’라는 용어는 종종 공급업체가 알지 못하는 취약점을 지칭하는 데 사용되지만, KEV 목록은 이미 실제 공격에 사용되고 있음을 알리는 신호입니다.
