“아이디·비번 없어도 프리패스”… IBM API 커넥트 취약점 비상

API 커넥트 인증 우회 결함 악용...CVSS 9.8점

[보안뉴스 김형근 기자] IBM은 자사 API 관리 플랫폼 ‘API 커넥트’(API Connect)에서 인증 절차를 우회해 시스템에 무단 침입할 수 있는 초고위험 취약점을 발견, 긴급 보안 경고를 발령했다.

이 취약점은 내부 테스트 도중 발견됐으며, CVE-2025-13915로 분류됐다. API 커넥트의 인증 우회(Authentication Bypass) 결함에서 비롯된 이 취약점은 마치 건물 앞문 자물쇠가 망가진 상태와 비슷하다는 평가다.

외부 공격자는 유효한 계정 정보가 없어도 네트워크를 통해 원격 접속해 데이터를 훔치거나 설정을 변경하고 서비스를 중단시킬 수 있다.

이 취약점은 보안 공통취약점점수시스템(CVSS)에서 10점 만점에 9.8점을 받았다. 공격 기술이 크게 복잡하지 않아도 성공할 수 있고, 사용자 개입이 전혀 없어도 침해될 수 있어 최상급 위험으로 꼽혔다. API 플랫폼을 통해 연결된 모든 서비스의 통제권을 상실할 수도 있다.

영향을 받는 버전은 API 커넥트 10.0.8.0부터 10.0.8.5 버전, 10.0.11.0 버전 제품이다. IBM은 이들 버전들을 사용하는 모든 조직에 즉각 보안 패치(iFix)를 적용할 것을 권고했다.

당장 패치 적용이 어려운 경우 임시로 개발자 포털의 ‘자가 가입’ (Self-service sign-up) 기능을 비활성화할 것을 권고했다. 이 기능을 끄면 새로운 사용자의 접근이 제한되지만, 공격자가 침투할 수 있는 통로를 일시적으로 차단하는 효과가 있다.

[김형근 기자(editor@boannews.com)]

우리나라 정보보호 수준 향상을 위해 이재명 정부에게 가장 바라는 점은 무엇인가요?
	ISMS 등 보안 인증 제도 실효성 개선
	AI 보안, 양자보안 등 보안 기술 연구개발 지원 확대
	중소 기업 보안 지원 확대
	기업 보안 예산 비율 의무화
	국가 정보보호 거버넌스 체계 정비
	기타(댓글로)