中 해커는 알고, 美 재무부는 몰랐던..‘제로데이’ 연쇄 공격

3줄 요약
1. 中 설트타이푼, 민간 보안 업체 공략.
2. 민간 업체 발판 삼아 美 재무부 침해.
3. 이 과정에 제로데이 3개 연루됨.

[보안뉴스 문가용 기자] 미국 통신망과 정부 기관을 겨냥한 중국 해커들의 소리 없는 폭격이 수개월째 이어지고 있다. 조사 과정에서 취약점들이 여럿 나오고 있는데, 널리 사용되는 데이터베이스 관리 시스템 포스트그레스큐엘(PostgreSQL)에서 최근 제로데이 취약점이 발견됐다.

[자료: gettyimagesbank]

포스트그레스큐엘은 객체 관계형 DB 관리 시스템 중 하나로, 맥OS 서버는 이를 기본 DB로 설정하고 있을 정도로 인기가 높다. 윈도는 물론 리눅스 거의 모든 배포판에서도 사용 가능하다. 널리 보급된 만큼 여기서 발견된 취약점은 파급력이 크다. 보안 업체 라피드7(Rapid7)과 미국 정보 기관들이 빠르게 이 소식을 전파하는 이유는 이 때문이다.

사기업 침해가 연방 기관 침해로
지난 12월, 보안 및 네트워크 관리 대행 업체 비욘드트러스트(BeyondTrust)가 침해됐다. 조사 결과 공격자들은 제로데이 취약점 두 개를 익스플로잇한 것으로 밝혀졌다. CVE-2024-12356과 CVE-2024-12686이었다.

1월 초, 미국 재무부도 침해됐다. 재무부서 사용하던 비욘드트러스트 인스턴스로부터 공격이 시작된 것으로 분석됐다. 별개로 보일 수 있었던 두 사건이 하나로 연결됐으며, 중국의 설트타이푼(Salt Typhoon)이라는 해킹 단체가 공격자로 지목됐다. 설트타이푼은 2021년부터 미국 내 서버 6만8500대를 침해한 것으로 알려진 조직이다.

미국 사이버보안인프라보안국(CISA)은 CVE-2024-12356을 12월 19일에, CVE-2024-12686을 1월 13일에 KEV에 추가했다. KEV는 ‘긴급 패치 요망 취약점’ 목록이다. 실제 익스플로잇 공격이 존재하는 취약점들이 포함된다. CISA는 두 제로데이를 ‘시급히 패치해야 하는 취약점’으로 분류해 공표한 것.

제로데이 공격 가능케 하는 또 다른 제로데이
라피드7은 CISA가 경고한 제로데이 취약점을 별도로 분석하다가 새로운 제로데이 취약점을 발견했다. CVE-2025-1094로, 위 두 개 취약점과 같이 포스트그레스큐엘에 내재돼 있었다. 포스트그레스큐엘이 출처 불분명한 입력값을 읽고 처리하는 과정에서 SQL 공격 가능성이 발동되는 취약점이었다. CVE-2024-12356을 익스플로잇 하려면 반드시 CVE-2025-1094부터 공략해야 했다.

“비욘드트러스트를 공격했을 때부터 공격자들은 CVE-2025-1094를 알고 있었을 가능성이 높다”고 라피드7은 보고 있다. 중국 해커들만 아는 제로데이 취약점들이 더 있을 수 있다는 의미.

라피드7은 CVE-2025-1094에 대해 1월 27일 제보했고, 패치는 2월 13일 배포되기 시작했다. 포스트그레스큐엘 사용자는 해당 패치를 적용하는 게 안전하다. 다만 한 발 이르게 공개된 CVE-2024-12356 픽스 역시 어느 정도 위험을 완화해 준다고 한다. “CVE-2024-12356 패치가 CVE-2025-1094의 근본 문제를 해결해주지는 않습니다만 익스플로잇을 어렵게 만들어주기는 합니다. 임시 활용 가능합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

올해 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)