CISA, 어도비 핵심 취약점 긴급 경고... CVSS 10점 기록, 이미 실제 공격에 사용

한번 HTTP 요청만으로 임의 시스템 명령 실행 가능...시스템 탈취 위험

[보안뉴스 김형근 기자] 미국 사이버보안및인프라 보안국(CISA)이 어도비 익스피리언스 매니저(AEM, Adobe Experience Manager)에 영향을 미치는 치명적 보안 결함을 발견했다.

CISA는 이 결함을 ‘활발하게 악용되는 취약점’(KEV) 목록에 추가하고 연방 기관들에 긴급 패치를 촉구했다. 이 취약점은 이미 실제 공격에 사용되고 있는 정황도 포착됐다.

문제가 된 취약점 ‘CVE-2025-54253’은 심각도를 평가하는 국제표준시스템 CVSS 점수에서 만점인 10.0을 기록한 최고 위험 등급 취약점이다.

공격자가 매우 쉽고 빠르게 시스템을 완전히 장악할 수 있다는 의미다. 서비스 설정 오류로 인해 임의의 코드 실행을 초래할 수 있다.

인증 없이도 공격 가능... 싱글 HTTP 요청으로 시스템 탈취
어도비는 이 결함이 ‘AEM Forms on JEE 6.5.23.0’ 및 이전 버전에 영향을 미친다고 밝혔으며, 8월 초 출시된 버전 6.5.0-0108에서 ‘CVE-2025-54254’ (CVSS 점수 8.6)와 함께 수정됐다.

보안 기업 파이어컴패스 분석에 따르면, 이번 결함의 핵심은 /adminui/debug라는 서블릿이 방어 없이 노출된 데 있다. 이 서블릿은 사용자가 입력한 일반 텍스트(OGNL 표현식)를 마치 실제 자바 명령어처럼 인식해 실행하게 만드는 문제를 안고 있으며, 이는 인증 절차 없이 발생한다.

이 엔드포인트 오용을 통해 공격자는 단 한 번의 HTTP 요청만으로도 인증 없이 임의의 시스템 명령을 실행할 수 있기 때문에 시스템 전체를 탈취할 수 있는 심각한 위험을 안고 있다.

어도비는 현재까지 이 취약점이 실제 공격에서 어떻게 악용되고 있는지에 대한 구체적 정보는 공개하지 않았다.

그러나 CVE-2025-54253 및 CVE-2025-54254 등 두 취약점에 대한 공개된 개념 증명(PoC) 공격의 존재를 인정하고, 사용자들에게 즉각 패치를 적용하라고 요청했다.

CISA, 연방기관에 대해 필수 수정 사항 적용 의무화
CISA는 이 취약점이 활발히 악용되고 있다는 점을 고려해, 연방 민간 행정부(FCEB) 산하 기관들에게 11월 5일까지 필수 수정 사항을 적용할 것을 의무화했다.

한편, CISA는 이번 AEM 취약점 추가 하루 전, SKYSEA Client View의 심각한 부적절한 인증 취약점인 ‘CVE-2016-7836’ (CVSS 점수 9.8) 역시 KEV 목록에 추가했다고 밝혔다.

2016년 말에도 공격 사례가 발견된 이 취약점은 관리 콘솔 프로그램과 TCP 연결 시 인증 처리 과정에 결함이 있어 원격 코드 실행을 허용하는 것으로 알려졌다. 이러한 CISA의 경고는 기업들이 최신 소프트웨어는 물론, 오래된 취약점(Legacy Flaw)도 간과해서는 안 된다는 점을 보여준다.

[김형근 기자(editor@boannews.com)]

우리나라 정보보호 수준 향상을 위해 이재명 정부에게 가장 바라는 점은 무엇인가요?
	ISMS 등 보안 인증 제도 실효성 개선
	AI 보안, 양자보안 등 보안 기술 연구개발 지원 확대
	중소 기업 보안 지원 확대
	기업 보안 예산 비율 의무화
	국가 정보보호 거버넌스 체계 정비
	기타(댓글로)