메인 콘텐츠로 이동하기
  1. 보안 시사 분석/
  2. 2026/
  3. Week 07/

Ivanti EPMM 제로데이 취약점 대규모 악용 사건 분석

·3237 자·7 분
Security-Issues-Analysis 제로데이 Ivanti MDM보안 코드인젝션 정부기관침해 CVE-2026-1281
목차

Ivanti EPMM 제로데이 취약점 대규모 악용 사건 분석 #

사건 개요 #

2026년 1월 29일, Ivanti는 Endpoint Manager Mobile (EPMM) 제품에서 발견된 두 개의 치명적인 제로데이 취약점 CVE-2026-1281과 CVE-2026-1340을 공개했다. 두 취약점 모두 CVSS 점수 9.8의 코드 인젝션 취약점으로, 인증되지 않은 공격자가 원격 코드 실행을 수행할 수 있다. Ivanti는 공개 시점에 이미 소수의 고객사가 제로데이 공격을 받았음을 확인했으며, CISA는 CVE-2026-1281을 즉시 Known Exploited Vulnerabilities 목록에 추가했다.

공개 후 24시간 내에 공격 시도가 급증했으며, 유럽연합 집행위원회, 네덜란드 정부기관, 핀란드 정부 ICT 서비스 센터 등 다수의 유럽 정부기관이 침해되었다. GreyNoise는 2026년 2월 1일부터 9일까지 417건의 익스플로잇 세션을 기록했으며, 그중 83%가 단일 IP 주소에서 발생했다.

기술적 세부사항 #

취약점 상세 #

CVE-2026-1281 및 CVE-2026-1340

  • CVSS 점수: 9.8 (Critical)
  • 유형: 코드 인젝션
  • 영향받는 기능: In-House Application Distribution 및 Android File Transfer Configuration
  • 영향받는 버전: EPMM 12.5.0.0~12.7.0.0 이전 버전

두 취약점은 EPMM의 HTTP 요청 처리 과정에서 입력 검증 미흡으로 발생한다. 공격자는 /mifs/c/appstore/fob/ 또는 /mifs/c/aftstore/fob/ 엔드포인트로 악의적인 HTTP GET 요청을 보내면서 Bash 명령어를 삽입할 수 있다. 서버는 이 명령어를 검증 없이 실행하여 임의의 OS 명령 실행이 가능하다.

공격 메커니즘 #

watchTowr Labs의 역공학 분석 결과, 취약점은 Apache HTTPd 설정에서 두 개의 Bash 쉘 스크립트 /mi/bin/map-appstore-url과 /mi/bin/map-aft-store-url가 사용자 입력을 적절히 검증하지 않고 처리하는 방식에 기인한다. RPM 패치는 이 Bash 스크립트를 새로운 Java 클래스로 대체하여 문제를 완화한다.

공격 인프라 #

GreyNoise 분석에 따르면, 익스플로잇 시도의 83%는 193.24.123[.]42라는 단일 IP 주소에서 발생했으며, 이는 PROSPERO의 bulletproof hosting 인프라에 속한다. Defused Cyber는 /mifs/403.jsp 경로에 휴면 상태의 인메모리 Java 클래스 로더를 배포하는 sleeper shell 캠페인을 발견했다. 이는 초기 접근 브로커의 전술로, 특정 트리거 파라미터가 있어야 활성화되며, 즉각적인 페이로드 배포 대신 취약한 시스템을 카탈로그화한다.

근본 원인 분석 #

기술적 원인 #

  1. 입력 검증 부재: HTTP 요청 파라미터에 대한 적절한 검증 및 살균 처리 미흡
  2. 안전하지 않은 스크립트 실행: 사용자 제공 입력을 직접 Bash 스크립트로 전달
  3. 인증 우회: 인증되지 않은 엔드포인트에서 민감한 기능 노출

관리적 원인 #

  1. 보안 코드 리뷰 미흡: 코드 인젝션 취약점을 개발 단계에서 탐지하지 못함
  2. 인터넷 노출 관리: EPMM 인스턴스의 불필요한 인터넷 노출
  3. 패치 관리 프로세스: 임시 RPM 패치가 버전 업그레이드 시 유지되지 않는 구조적 문제

인적 원인 #

  1. 보안 인식 부족: 모바일 디바이스 관리 시스템의 중요성에 대한 인식 미흡
  2. 신속한 패치 적용 미흡: 일부 조직의 느린 패치 적용 속도

영향 분석 #

직접적 피해 #

  1. 정부기관 침해: 유럽연합 집행위원회, 네덜란드 데이터 보호 당국, 네덜란드 사법위원회, 핀란드 Valtori 등이 침해됨
  2. 개인정보 노출: 직원 이름, 이메일, 전화번호, GPS 정보, 디바이스 고유 식별 정보 등
  3. 운영 중단: 유럽연합 집행위원회는 9시간 동안 서비스 중단

간접적 영향 #

  1. 평판 손상: Ivanti 제품에 대한 신뢰도 하락
  2. 규제 조사: 각국 규제기관의 조사 시작
  3. 공급망 리스크: 정부기관의 타사 솔루션 의존도에 대한 재평가

피해 규모 #

  • 전 세계 약 1,600개의 노출된 EPMM 인스턴스 확인
  • 유럽 정부기관 다수 침해
  • Honeypot 기록 기준 130개 이상의 고유 IP에서 수백 건의 연결 시도

위협 행위자 분석 #

초기 제로데이 공격자 #

Ivanti는 소수의 고객이 공개 전에 침해당했다고 언급했으나, 위협 행위자의 정체나 동기에 대한 구체적인 정보는 공개하지 않았다. Google TAG가 보고에 관여한 점을 고려할 때, 국가 지원 APT 그룹일 가능성이 있다.

대규모 익스플로잇 캠페인 #

공개 후 발생한 대규모 공격은 다음과 같은 특징을 보인다.

  1. Bulletproof Hosting 활용: PROSPERO AS200593의 인프라 사용
  2. 초기 접근 브로커 전술: 즉각적인 악용보다는 취약한 시스템 카탈로그화
  3. Sleeper Shell 배포: /mifs/403.jsp에 휴면 웹쉘 설치
  4. OAST 콜백: 취약성 검증을 위한 out-of-band 애플리케이션 보안 테스트 패턴 사용

다중 위협 그룹 활동 #

Shadowserver 재단의 보고에 따르면, 여러 위협 그룹이 동시에 활동 중이며, 58%의 공격이 포트 443을 통한 역쉘 설치, 웹쉘 배포, 자동화된 드로퍼 등을 목표로 한다.

예방 및 대응 방안 #

즉각적 조치 (Immediate) #

  1. 긴급 패치 적용: RPM 12.x.0.x 또는 12.x.1.x 패치 즉시 적용
  2. 침해 지표 검색: Apache 액세스 로그에서 정규표현식 패턴 검색
    ^(?!127\.0\.0\.1:\d+ .*$).*?\/mifs\/c\/(aft|app)store\/fob\/.*?404
  3. Sleeper Shell 확인: /mifs/403.jsp 경로 존재 여부 확인
  4. 인메모리 임플란트 제거: 애플리케이션 서버 재시작
  5. PROSPERO AS 차단: AS200593 네트워크 차단

단기 조치 (Short-term) #

  1. 인터넷 노출 최소화: 불필요한 EPMM 인터넷 노출 제거
  2. 네트워크 세분화: MDM 인프라를 다른 네트워크로부터 격리
  3. 관리자 계정 점검: 신규 또는 최근 변경된 관리자 확인
  4. 비밀번호 재설정: 모든 EPMM 로컬 계정, LDAP/KDC 서비스 계정 비밀번호 재설정
  5. 인증서 교체: EPMM이 사용하는 공개 인증서 폐기 및 교체

장기 조치 (Long-term) #

  1. 영구 패치 적용: 2026년 Q1 출시 예정인 EPMM 12.8.0.0 업그레이드
  2. 제로 트러스트 아키텍처: MDM 접근에 대한 제로 트러스트 원칙 적용
  3. 지속적인 모니터링: DNS 로그에서 OAST 패턴 콜백 모니터링
  4. 보안 개발 수명주기: 코드 인젝션 취약점 방지를 위한 개발 프로세스 강화
  5. 공급망 보안 검토: 타사 솔루션의 보안 태세 정기 평가

컨설팅 관점 #

고객사 커뮤니케이션 전략 #

기술팀 대상

  • 취약점의 기술적 세부사항과 익스플로잇 메커니즘 설명
  • 침해 지표 검색 및 패치 적용 절차 제공
  • 네트워크 세분화 및 모니터링 강화 방안 논의

경영진 대상

  • 정부기관 침해 사례를 통한 비즈니스 영향 설명
  • 즉각적인 패치 적용의 중요성 강조
  • 공급망 보안 리스크 및 장기적인 보안 투자 필요성 제시

비기술 직원 대상

  • 모바일 디바이스 관리 시스템의 역할 및 중요성 설명
  • 개인정보 노출 가능성 및 보안 인식 제고
  • 의심스러운 활동 발견 시 보고 절차 안내

예상 질문 및 답변 #

Q1: 우리 조직도 영향을 받았는가? A1: EPMM 12.7.0.0 이하 버전을 사용 중이고 인터넷에 노출된 경우 취약합니다. 로그 분석을 통해 침해 여부를 확인해야 합니다.

Q2: 패치 적용 시 다운타임이 발생하는가? A2: RPM 패치는 다운타임 없이 몇 초 내에 적용 가능하지만, 인메모리 임플란트 제거를 위해 애플리케이션 서버 재시작이 권장됩니다.

Q3: 임시 패치와 영구 패치의 차이는? A3: 현재 RPM 패치는 임시 조치로, 버전 업그레이드 시 재적용이 필요합니다. 2026년 Q1의 12.8.0.0 버전이 영구적인 해결책입니다.

Q4: 왜 Ivanti 제품은 반복적으로 공격받는가? A4: EPMM과 같은 MDM 솔루션은 조직 전체의 모바일 디바이스를 관리하므로 고가치 타겟입니다. 과거 2023년 CVE-2023-35078, 2025년 CVE-2025-4427/4428 등이 악용되었습니다.

Q5: 초기 접근 브로커란 무엇인가? A5: 시스템을 침해하여 접근권을 확보한 후, 이를 다른 사이버 범죄자에게 판매하는 조직입니다. 이번 sleeper shell 캠페인이 그 사례입니다.

학습 내용 및 시사점 #

핵심 학습 사항 #

  1. 제로데이 악용 속도: 취약점 공개 후 24시간 내에 대규모 익스플로잇 시도가 발생하며, 공개 전 제로데이 공격도 진행되었다.

  2. MDM 시스템의 전략적 가치: 모바일 디바이스 관리 시스템은 조직 전체의 디바이스 정보와 관리 권한을 가지므로, APT 그룹과 초기 접근 브로커의 주요 타겟이다.

  3. 초기 접근 브로커 전술: Sleeper shell 배포와 OAST 콜백을 통한 취약성 카탈로그화는 즉각적인 악용보다 장기적인 접근 판매를 목표로 한다.

  4. 정부 공급망 리스크: 단일 타사 솔루션의 취약점이 다수 정부기관에 동시 영향을 미칠 수 있다.

  5. 패치 적용의 한계: 임시 RPM 패치가 버전 업그레이드 시 유지되지 않는 구조적 문제는 장기적인 보안 관리를 복잡하게 만든다.

보안 원칙 재확인 #

  1. 인터넷 노출 최소화: MDM과 같은 중요 관리 시스템은 인터넷에 직접 노출되어서는 안 된다.

  2. 입력 검증의 중요성: 모든 사용자 입력은 신뢰할 수 없으며, 특히 시스템 명령어 실행 컨텍스트에서는 엄격한 검증이 필수적이다.

  3. 신속한 패치 적용: CISA가 3일의 패치 기한을 부여한 것은 취약점의 심각성과 빠른 악용 가능성을 반영한다.

  4. 다층 방어: 패치 외에도 네트워크 세분화, 접근 제어, 이상 탐지 등 다층 방어 전략이 필요하다.

  5. 공급망 보안 검토: 타사 솔루션에 대한 정기적인 보안 평가와 대체 계획 수립이 필요하다.

향후 전망 #

  1. Ivanti 제품에 대한 지속적인 공격: 과거 이력을 고려할 때, Ivanti 제품은 계속해서 위협 행위자의 타겟이 될 것으로 예상된다.

  2. MDM 보안 강화 요구: 정부 및 기업의 MDM 솔루션 보안 요구사항이 강화될 것이다.

  3. 제로데이 시장 활성화: 초기 접근 브로커의 활동은 제로데이 취약점 시장을 더욱 활성화시킬 것이다.

  4. 규제 강화: 정부 계약업체에 대한 사이버보안 규제가 강화될 가능성이 있다.