최근 보안업계에서는 랜섬웨어 공격 대응뿐 아니라 다양한 시스템과 애플리케이션에서 발견된 다수의 취약점들이 보고되었으며, 이들 취약점은 정보 유출, 권한 상승, 서비스 거부(DoS), 원격 코드 실행(RCE) 등 심각한 영향을 미칠 수 있음이 입증되었다. 보안관리 담당자가 특히 주목해야 할 핵심 내용과 참고사항은 아래와 같다.
────────────────────────────────
[1] 하드웨어 및 펌웨어/저수준 시스템 취약점
• IOMMU 내 RMP(host buffer access) 관련 (CVE-2025-43935 등): 호스트 버퍼 접근 시 범위 검증 미흡으로 민감 데이터 노출과 게스트 무결성 훼손 위험.
• Dell PowerScale OneFS 및 PowerProtect Data Domain 관련 여러 CVE (예: CVE-2026-2336, CVE-2025-54510, CVE-2026-35072 등): 고권한 공격자나 로컬 취약 활동으로 DoS, 민감 정보 노출 및 리소스 오용 가능성이 있음.
• Dell Client Platform BIOS의 약한 비밀번호 복구 메커니즘 (CVE-2025-43883)와 AMD ASP 펌웨어 관련 검증 미흡 (CVE-2025-36579, CVE-2025-54502): 물리적 접근을 통한 미승인 접근 위험 존재.
• NovumOS와 같은 커스텀 OS (CVE-2026-40350, CVE-2026-40572, CVE-2026-35465 등): 사용자 모드에서 커널 영역이나 중요한 메모리 영역으로 점프, 매핑 및 접근 허용 시 권한 상승 및 원격 제어 가능.
────────────────────────────────
[2] 네트워크, RDP 및 원격 접근 취약점
• xrdp 관련 여러 취약점 (예: CVE-2026-32107, CVE-2026-32648, CVE-2026-32624 등): RDP 연결 시 동적 채널 데이터 재조립, 패킷 검증 미흡 등으로 인해 힙 오버플로우, 무결성 미검증(메시지 인증 부재) 등으로 DoS 또는 RCE 위험이 있음.
• GRAMPS, SecureDrop Client 등 특수 애플리케이션의 경로 검증 및 파일 압축 해제 취약점 (CVE-2026-40317, CVE-2026-40351, CVE-2026-40319 등): 잘못된 파일명 처리 및 압축 해제 시 절대경로 삽입 등이 악용될 수 있음.
────────────────────────────────
[3] 웹 애플리케이션, 프레임워크 및 플러그인 취약점
• WordPress 플러그인(예: Drag and Drop Multiple File Upload, WP Customer Area, Categories Images, Content Blocks, Contextual Related Posts 등)에서 저장형 또는 반사형 XSS, 파일 업로드 및 경로 탐색 취약점이 다수 보고됨.
– 공격자는 미흡한 입력검증과 출력 이스케이핑 문제를 악용해 악성 스크립트 주입, 원격 코드 실행, 파일 노출 등을 유발할 수 있다.
• Apache Airflow 관련 취약점 – JSON 변수 내 민감 정보 미마스킹, 일부 SQL 오류 정보 노출, DAG 구성 시 부적절한 입력 사용 사례 등이 보고되었으며, 최신 버전(3.2.0)으로의 업데이트가 권장된다.
• Keycloak, PAC4J, Next.js SDK, 그리고 Thymeleaf, graphql-go 등 오픈소스 라이브러리와 프레임워크에서도 CSRF, NoSQL/SQL 인젝션, SSTI, 재귀 깊이 조절 미비로 인한 StackOverflowException 등 다양한 문제가 발견되었음.
– 특히 GraphQL 서버(Hot Chocolate, Chocolate) 취약점은 너무 깊은 재귀로 인해 .NET 워커 프로세스 크래시를 일으킬 수 있어 리버스 프록시에서의 크기 제한 적용이 필요하다.
• Vulnerabilities in DNN (DotNetNuke) 및 ChurchCRM와 같이 콘텐츠 관리와 조직 관리 시스템에서도 XSS, SQL 인젝션, 인증 우회, CSRF, 세션 고정 등이 여러 건 보고되어 관리자 권한 강화와 API 접근 제한이 필요하다.
• 기타 오픈소스 도구(예: gdown, SAIL, libcoap, radare2, miniupnpd 등)에서 경로 탐색, 버퍼 오버플로우, 정수 언더플로우, 메모리 누수 등이 발견되었으며, 각 프로젝트의 최신 패치 버전으로의 업그레이드가 권고된다.
────────────────────────────────
[4] AI 및 데이터 시각화 관련 취약점
• FastGPT, Giskard, DataEase와 같은 AI/데이터 시각화 플랫폼에서 정규식 복잡도, 템플릿 주입, SQL 인젝션 및 역직렬화 취약점이 보고되었으며, 공격자가 악의적으로 조작된 입력을 통해 서버 측 코드 실행이나 시스템 중단을 유발할 수 있음.
• AI 에이전트 구축 및 모델 테스트 프레임워크 취약점(예: giskard-checks의 Jinja2 템플릿 해석 취약점 및 정규식 취약점)은 테스트 정의를 외부(비신뢰) 소스로부터 로드할 경우 RCE 위험을 내포하므로, 체크 정의의 출처와 접근 권한 관리가 중요하다.
────────────────────────────────
[5] 클라우드, 컨테이너, 데이터 저장 및 인증 관련 취약점
• Vault, AsyncHttpClient, OpenFGA, 그리고 Apache Airflow 등에서 인증 토큰, 리디렉션 처리, 토큰 전달 및 세션 고정과 관련된 취약점이 보고됨.
– 예를 들어, Vault의 “Authorization” 헤더 전달 문제(CVE-2026-5052 등)와 Airflow의 DAG 및 사용자 선호도 처리 취약점은 민감 정보 유출과 인증 우회를 유발할 수 있으므로, 해당 제품의 보안패치 및 추가적인 정책 설정(예: 헤더 제거, 리디렉션 제한)을 즉시 적용해야 한다.
• Keycloak 및 관련 프로바이더의 OAuth2 플로우 오류로 인한 로그인-CSRF 및 세션 고정 역시 관리자 및 사용자 계정 탈취 위험을 증가시키므로, 최신 버전으로의 업데이트가 필수적이다.
────────────────────────────────
[6] 취약점 대응 및 추가 최신정보
• 대부분의 보고된 CVE는 “패치”, “업그레이드”, “구성 변경” 등을 통해 해결 가능하거나 완화할 수 있음. 최신 버전으로의 신속한 업데이트 및 취약점 권고 문서(제품별 보안 공지, CVE 상세정보)를 주기적으로 확인할 필요가 있다.
• 해커들이 “랜섬웨어 무기고” 내 비밀 해킹 자원(예: 그린렉스, Grinex 관련 언급처럼 불리한 국가 전용 도구)도 언급되고 있으므로, 관련 보안 인프라의 외부 노출 최소화, 네트워크 세그먼테이션, 접근제어 강화 및 위협 인텔리전스와 연계한 모니터링 강화 등 다층 방어 전략이 중요하다.
• 내부 자산의 민감 데이터 보호를 위해 각 애플리케이션의 로그, API, 파일 업로드 기능 등의 보안 설정(예: 입력/출력 이스케이핑, 경로 검증, 심층 패킷 검사)을 강화하고, 취약점 발생 시 신속한 대응 프로세스를 마련하는 것이 권장된다.
──────────────────────────────── [결론 및 권고사항] 보안관리 담당자로서는 위와 같이 다양한 CVE들이 보고되었음을 주목하고, 각 취약점에 대해 제품별로 최신 패치 적용, 구성 보완, 그리고 운영 모니터링 체계를 강화해야 한다. 특히 랜섬웨어 공격이 증가하는 상황에서, 웹 애플리케이션, 클라우드 인프라, RDP/원격접속 서버 및 AI/데이터 플랫폼의 취약점이 악용될 경우 기밀성 및 무결성 침해는 물론 전사적 피해로 확산될 수 있음을 인지하고, 주기적인 보안 점검과 위험 평가를 실시할 필요가 있다.
추가로 최신 보안 뉴스 및 전문가 분석(예: Dan Goodin의 Grinex 관련 보도 등)을 참고하여 동향을 파악하고, 대응 전략 및 인시던트 대응 계획을 업데이트하는 것이 필요하다.
