소프트웨어 업체들이 보안 구멍을 막고 나서야, 그래야 비로소 ‘알려주겠지’ 하고 기대하는 게 당연합니다. 하다못해 패치 후에라도 말이죠. 하지만 위버 이콜로지는 이번에 제대로 선을 넘었습니다. 악당들이 공개 발표보다 먼저 CVE-2026-22679의 존재를 알았다는 게 정설이 돼버렸으니 말입니다. 이건 그냥 흔한 제로데이 공격이 아닙니다. 업체가 저지른 실수를 해커들이 총알처럼 달려들어 악용한, 아주 기묘한 상황이 펼쳐진 거죠.
혹시 모르시는 분들을 위해 설명하자면, 위버 이콜로지는 중국 기업들의 ‘디지털 풀’ 같은 역할을 합니다. 업무 흐름, 문서 관리, 인사까지. 기업 운영의 핵심이죠. 이런 소프트웨어가 맛이 가면 다른 모든 게 멈춰버립니다. 그런데 이번에 발견된 이 버그는? 치명적입니다. 인증 불필요. 원격 코드 실행 가능. 삼박자가 딱 맞아떨어진 재앙입니다.
버그의 실체: 총체적 난국 그 자체
더욱 기가 막히는 건 이게 어떻게 발생했느냐는 겁니다. 디버그 API 엔드포인트가 열려 있었고, 사용자 입력을 그대로 백엔드 원격 프로시저 호출(RPC) 함수로 넘겼습니다. 인증도 없었고, 입력값 검증도 ‘전무’했습니다. 마치 도주 차량에 시동 키를 꽂아두고 왜 차가 없어졌냐고 묻는 격이죠. 위협 인텔리전스 업체 베가(Vega)가 이 모든 사실을 낱낱이 밝혔습니다.
악당들은 (그들의 노고에 박수를 보냅니다만) 일단 간단한 핑(ping) 명령으로 시작했습니다. 될까 싶어서요. 그러다 파워셸(PowerShell) 페이로드를 다운로드하려 했죠. 막혔습니다. MSI 설치 프로그램도 시도했지만 실패했습니다. 그래서 결국 기본으로 돌아가, 난독화된 파일리스 파워셸을 사용했습니다. 원격 스크립트를 계속해서 가져오는 방식이었죠. whoami, ipconfig 같은 탐색 명령을 실행하면서 말입니다. 이건 뭐, 은밀함의 대가라기보다는 시끄러운 강도 행각에 가깝습니다.
가장 황당한 건 뭔지 아십니까? 그들은 시스템에 흔적조차 남기지 못했습니다. 베가의 보고서에 따르면, 공격에 사용된 모든 프로세스는 java.exe에 의해 실행되었습니다. 즉, 위버의 톰캣(Tomcat)에 번들로 포함된 자바 가상머신(JVM) 말입니다. 사전 인증 없이 말이죠. 뭔가 멋진 발판을 마련한 게 아니라, 그냥… 잠시 머물렀다가 사라진 겁니다.
“우리가 관찰한 모든 공격 프로세스는 인증 절차 없이 위버의 톰캣 번들 자바 가상 머신인 java.exe에 의해 실행되었습니다,”라고 베가는 설명하며, “업체 수정(빌드 20260312)은 디버그 엔드포인트를 완전히 제거했습니다.”라고 덧붙였습니다.
업체의 망신스러운 실수
진짜 문제는 여기서부터입니다. 공격은 위버가 이 버그에 대한 보안 업데이트를 내놓은 지 ‘단 5일’ 만에 시작되었습니다. 5일이요. 그리고 위버가 이 사실을 공개하기까지 ‘2주’ 동안이나 공격은 계속되었습니다. 이건 그냥 느린 게 아니라, 심각한 태만입니다. 취약점 처리 과정에서 얼마나 엉망진창인지 보여주는 단적인 예입니다. 일단 패치부터 하고, 그 다음에 공개하려고 허둥지둥하면서, 그 와중에 열어둔 거대한 구멍을 아무도 눈치채지 못하길 바라는 식이죠. 이건 단순한 CVE가 아니라, 예고된 PR 재앙입니다. 그리고 이런 사건들을 보면, 우리 회사를 돌아가게 하는 다른 모든 소프트웨어의 보안 상태는 과연 괜찮은 걸까 하는 의문이 들 수밖에 없습니다.
이게 바로 새로운 현실인가?
이번 위버 이콜로지 사태는 불안한 추세를 명확히 보여줍니다. 공격자들은 점점 빨라지고 있는데, 업체들은… 글쎄요, 낚이고 있는 셈입니다. 패치 배포와 실제 공격 사이의 시간 간격이 줄어들고 있습니다. 그리고 공격과 ‘공개’ 사이의 간격은? 적어도 어떤 업체들에게는 오히려 벌어지고 있는 것 같습니다. 이건 마치 고양이가 문이 어느 방향으로 열렸는지 아직도 파악 중인 동안, 쥐들은 더 좋은 정보와 더 빠른 바퀴를 가지고 날뛰는, 우려스러운 술래잡기 게임을 시사합니다.
업체가 내놓은 수정 사항, 빌드 20260312는 전체 디버그 엔드포인트를 통째로 날려버린 것으로 보입니다. 물론 굵고 짧은 방식이지만, 효과는 확실합니다. 복잡한 해결책이 아니라, 그냥 업데이트하면 됩니다. 만약 위버 이콜로지 10.0을 사용 중이고 아직 패치하지 않았다면, 지금 당장 하세요. 어제 했어야 합니다. 공격자들이 이미 다른 곳으로 옮겨갔을 수도 있지만, 그 코드 안에 또 다른 무엇이 숨어 있을지는 아무도 모릅니다. 이 모든 사건은 우리에게 분명한 교훈을 줍니다: 믿되, 확인하라. 그리고 기업용 소프트웨어에 관해서는, 아마도 그냥… 반복해서 확인하는 게 좋을 겁니다.
🧬 관련 인사이트
- 더 읽어보기: 주니퍼 네트웍스의 악몽: 공격자에게 네트워크 키를 넘겨줄 수 있는 36가지 주노스 OS 취약점
- 더 읽어보기: 구글 안드로이드 16, 공격받는 언론인과 정치인을 위한 디지털 요새 구축
자주 묻는 질문
위버 이콜로지란 무엇인가? 위버 이콜로지는 업무 흐름, 문서 관리, 인사 등 다양한 비즈니스 프로세스에 사용되는 기업용 사무 자동화 및 협업 플랫폼입니다.
내 데이터가 도난당했나? 원본 보고서에는 데이터 도난에 대한 언급은 없습니다. 다만 탐색 명령 실행 및 페이로드 다운로드 시도가 있었으며, 이는 방어 시스템에 의해 차단된 것으로 알려졌습니다.
중국에 있지 않아도 공격받을 수 있나? 보고서에 따르면 이 제품은 주로 중국 기업에서 사용되지만, 해당 취약점 자체(CVE-2026-22679)는 이론적으로 영향을 받는 소프트웨어를 사용하는 모든 시스템에 영향을 줄 수 있으며, 이는 지역과 무관합니다.
