중요 비즈니스 프로세스를 자동화할 때, 자동화 자체가 약점이 되는 상황만큼 골치 아픈 일도 없을 겁니다. 바로 Progress Software 고객들이 최근 MOVEit Automation, 즉 관리형 파일 전송(MFT) 솔루션에서 발견된 두 가지 심각한 취약점의 공개와 패치로 인해 겪게 된 곤란함입니다. 여기서 가장 주목할 만한 것은 CVSS 점수 9.8점의 치명적인 버그인 CVE-2026-4670입니다. 이 점수는 사실상 혼돈을 불러들이는 수준이죠. 단순히 이론적인 문제가 아니라, 공격자가 아무런 제약 없이 침투할 수 있는 엄청난 구멍이나 다름없습니다.
신뢰의 아키텍처, 무너지다
MOVEit Automation은 민감한 데이터를 안정적이고 사람의 개입 없이 이동시켜야 하는 수많은 기업들의 근간입니다. 급여 데이터, 고객 정보, 규정 준수 보고서 등 조직의 생명줄과 같은 데이터들이죠. 이 솔루션은 보안이 강화된 서버 기반으로, 복잡한 파일 전송 워크플로우를 사용자 정의 스크립팅 없이 처리하도록 설계되었습니다. 이는 운영 효율성을 높이는 중요한 장점이죠. 하지만 자동화에 대한 의존도가 높다는 것은, 자동화 플랫폼 자체의 취약점이 단순한 기술적 결함을 넘어 연쇄적인 실패로 이어질 수 있다는 뜻입니다. CVSS 9.8점의 치명적인 인증 우회 결함은 특히 서비스 백엔드 명령 포트 인터페이스를 노립니다. 즉, 공격자가 이 인터페이스에 접근할 수 있다면, 시스템을 속여 자신이 합법적인 사용자인 것처럼 위장하고 무단 접근을 시도할 수 있다는 겁니다. 이건 그저 애피타이저에 불과하죠.
두 번째 취약점인 CVE-2026-5174는 심각도(CVSS 7.7점)가 높은 부적절한 입력값 검증 결함으로, 일단 시스템에 침투한 후 권한 상승에 연쇄적으로 악용될 수 있습니다. 마치 강도가 현관문 자물쇠를 따는 데 그치지 않고, 집안의 마스터키까지 찾아내는 상황을 상상해보세요. Progress의 공지는 이 상황을 냉정하게 묘사합니다: “MOVEit Automation의 치명적이고 높은 심각도의 취약점은 서비스 백엔드 명령 포트 인터페이스를 통해 인증 우회 및 권한 상승을 허용할 수 있습니다. 이를 악용하면 무단 접근, 관리자 제어권 탈취, 데이터 유출로 이어질 수 있습니다.” 이 문제가 해결되지 않았을 때 발생할 수 있는 상황에 대한 명확하고 소름 끼치는 평가입니다.
“이를 악용하면 무단 접근, 관리자 제어권 탈취, 데이터 유출로 이어질 수 있습니다.”
이건 비상사태입니다. 영향을 받는 특정 버전은 MOVEit Automation <= 2025.1.4, <= 2025.0.8, <= 2024.1.7입니다. Progress는 사용자라면 반드시 적용해야 할 수정 버전(각각 2025.1.5, 2025.0.9, 2024.1.8)을 제공했습니다. 이 문제들을 완화할 수 있는 해결책이 전혀 없다는 사실은 그 긴급성을 더욱 부각시킵니다.
악용 패턴의 재현?
Progress는 이 특정 MOVEit Automation 결함이 현재 실제 공격에 사용되고 있다는 증거는 없다고 신중하게 밝히고 있지만, 회사의 과거 이력 — 그리고 MOVEit 제품 라인의 이력 — 은 긴 그림자를 드리웁니다. 특히 Cl0p 랜섬웨어 공격대에 의한 광범위한 악용 사례를 포함한 MOVEit Transfer 침해 사고에 대해 우리는 모두 들어봤을 것입니다. 이러한 전례만으로도 모든 MOVEit 사용자는 즉시 경계 태세를 갖춰야 합니다. 특정 제품이 반복적으로 공격 대상이 되어 왔다면, 새로운 치명적 취약점은 단순히 수정해야 할 버그를 넘어 잠재적으로 침해당한 시스템 위에 펄럭이는 적색 경고등이나 다름없습니다. 이는 공포를 조장하려는 것이 아니라, 신뢰받는 인프라가 알려진 약점이 되었을 때 공격자가 얻는 전술적 이점을 인식하는 문제입니다. 과거 MOVEit 취약점이 무기화된 용이성을 고려할 때, 공격자가 침투 경로를 찾는다면 반드시 실행할 것이라는 점을 시사합니다.
이러한 발견의 배후에 있는 연구원들 – Airbus SecLab의 Anaïs Gantet, Delphine Gourdou, Quentin Liddell, Matteo Ricordeau – 은 칭찬받을 가치가 있습니다. 그들의 작업은 우리가 모두 의존하는 디지털 인프라를 강화하는 데 필수적입니다. 하지만 궁극적인 보안 결과를 결정하는 것은 MOVEit Automation을 사용하는 모든 조직이 즉시 패치해야 할 의무, 즉 다운스트림 효과입니다.
엔터프라이즈 파일 전송에 왜 중요한가?
이번 MOVEit Automation에 국한된 사건은 민감한 데이터 교환을 관리하는 엔터프라이즈 아키텍처에 대한 더 넓은 우려를 제기합니다. 수년간 MFT 플랫폼과 같은 중앙 집중식 자동화 솔루션은 제어, 감사 용이성, 효율성 측면에서 트렌드를 이끌어왔습니다. 이들은 수동 파일 전송이나 안전하지 않은 임시 방식의 고질적인 오류를 제거하도록 설계되었습니다. 그러나 이러한 플랫폼의 내재된 복잡성은 또한 공격 표면을 집중시킵니다. MFT 솔루션의 단 하나의 고심각도 취약점이라도 공격자에게 조직의 가장 민감한 데이터 흐름으로 침투할 수 있는 광범위한 발판을 제공할 수 있습니다. 이는 모든 귀중품을 하나의 요새화된 금고에 넣었는데, 안타깝게도 그 금고에 알려진 뒷문이 있는 것과 같은 디지털적인 비유입니다. 이는 재평가를 강요합니다. 자동화 효율성 증대가 단일 시스템이 침해되었을 때 증폭되는 위험을 감수할 만한 가치가 있는가? 많은 사람들에게 답은 ‘예’였지만, 최근 MOVEit 관련 사건들은 보안이 ‘나중에 덧붙이는 것’이 아닌 ‘처음부터 내장되어야 한다’는 것을 냉혹하게 상기시켜 줍니다.
제로데이 익스플로잇은 언제쯤 볼 수 있을까?
이러한 취약점의 치명적인 성격과 공격자들이 MOVEit 제품을 표적으로 삼아온 확고한 전례를 볼 때, 위협 행위자들이 이미 이러한 공개된 결함을 분석하여 악용 가능성을 탐색하고 있을 것이라고 확신합니다. 공지 사항 자체가 공격자에게는 로드맵이나 마찬가지입니다. Progress가 신속하게 패치를 배포했지만, 공개와 광범위한 패치 사이의 간극은 언제나 위험한 시기입니다. 역사적으로 치명적인 MFT 취약점은 신속하게 악용되었습니다. 몇 주, 아니 며칠 안에 이러한 CVE가 실제 공격 캠페인에 등장하는 것을 보는 것도 놀랍지 않을 것입니다. 패치를 지연하는 조직은 사실상 정찰 및 잠재적 침해에 문을 열어두는 셈입니다.
