공포의 ‘이반티 VPN’ 해킹 또 ‘극성’

中 배후 ‘UNC5221’ 주도, 원격시대 VPN 생태계 ‘공적 1호’ CVE-2025-22457 취약성 기반 ‘이반티 커넥트 시큐어’ 등 공격 ‘버전 22.7R2.5 등’…펄스 커넥트, 이반티 폴리시, ZTA 게이트웨이 등

2025-04-08     이윤순 기자
VPN 이미지. (사진=픽사베이)

[애플경제 이윤순 기자] 2023년 이후 사용자들에게 큰 위협이 되었던 이반티(Ivanti) VPN 해킹이 또 다시 벌어지고 있다. 지난해 Log4j 사태와 함께 이반티 VPN 해킹은 가장 치명적이고 광범위한 사이버공격으로 전 세계에 충격을 준 바 있다. 이에 이반티는 2월에 패치를 발표했지만, 해커들은 이를 무력화할 해결책을 개발한 것으로 알려졌다. 이반티는 다시 3월 중순부터 중국과 관련된 스파이 그룹이 악용한 ‘커넥스 시큐어 VPN’(Connect Secure VPN) 앱의 보안 결함을 다시 패치했다.

중국 연계 범죄 그룹 ‘UNC5221’ 주도

이번에 다시 시도된 이반티 VPN 공격에서 CVE-2025-22457로 추적된 취약성의 심각도는 매우 치명적이다. 이는 ‘이반티 커넥트 시큐어’(버전 22.7R2.5 및 이전), ‘펄스 커넥트 시큐어’(버전 9.1R18.9 및 이전, 작년 말에 지원 종료), ‘이반티 폴리시 시큐어’(버전 22.7R1.3 및 이전), ZTA 게이트웨이(버전 ​​22.8R2 및 이전)에 영향을 미친다.

사이버보안 업체 맨디안트에 따르면 이반티 VPN를 활발하게 악용하고 있다는 증거가 있으며, 이를 통해 원격 코드 실행(RCE)을 감행하며 멜웨어를 배포하고 있다. 특히 “‘트레일블레이즈E’(TrailblazeE) 인메모리 전용 드로퍼와, 브러시파이어(Brushfire) 패시브 백도어라는 두 가지 맬웨어 패밀리가 배포되고 있다”는 것이다.

이에 따르면 또한 중국과 연계된 사이버범죄 그룹인 UNC5221이 주도한 가운데, ‘Spawn’ 맬웨어 생태계도 배포되고 있다. UNC5221은 앞서 2023년부터 에지 디바이스의 제로데이 익스플로잇(사이버공격)을 중심을 활발한 해킹을 시도해온 중국 배후의 스파이 집단이다.

이 취약점은 문자 공간이 제한된 ‘버퍼 오버플로’이며, 처음에는 대부분의 사용자들이 크게 위험하지 않은 서비스 거부 취약점으로 여겼다. 이에 대한 패치가 지난 2월 11일에 출시되긴 했다. 맨디안트는 그러나 “이들은 패치를 분석하고, 22.7R2.5 이전 ‘이반티 커넥트 시큐어’ 버전을 공격, 원격 코드 실행을 달성할 수 있는 방법을 찾아낸 것이 확실하다”고 했다.

이에 대해 이반티는 “이 취약점은 마침표와 숫자로 제한된 문자가 있는 ‘버퍼 오버플로’”라며 “원격 코드 실행으로 익스플로잇할 수 없는 것으로 평가, 결정되었으며, (해커들의) 서비스 거부 요구 사항을 충족하지 못했다.”고 설명했다. 그럼에도 불구하고 “이반티와 보안 파트너는 이제 이 취약점이 정교한 수단을 통해 익스플로잇될 수 있다는 것을 알게 되었고, 야생에서 활발한 익스플로잇의 증거를 확인했다.”고 밝혔다.

이반티 사옥과 로고 전경. (사진=셔터스톡)

“전세계 엣지 디바이스 정교한 공격 급증” 우려

또한 ‘구글 위협 정보 그룹’(Google Threat Intelligence Group, GTIG)에 따르면 중국의 UNC5221이 광범위한 국가들과 시장을 표적으로 삼고 있다. 이와 함께 다양한 엣지 어플라이언스의 수동 백도어에서 ‘트로이 목마’화된 합법적 구성 요소에 이르기까지 광범위한 툴을 사용한 것으로 밝혀졌다. GTIG는 또한 “UNC5221은 그 동안 계속 성공적인 해킹을 반복하며, 공격적인 수법을 자행해 왔다.”면서 “이들은 앞으로도 엣지 디바이스의 제로데이 취약점 공격을 계속 시도할 것”이라고 확신했다.

이같은 ‘UNC5221’가 이번에 다시 이반티 VPN을 공격하고 나선 것은 전 세계적으로 엣지 디바이스를 표적으로 삼는 정교한 위협 사례가 증가하고 있음을 보여준다는 분석이다. 특히 취약점 CVE-2025-22457을 악용한 경우처럼, UNC5221과 같은 해커들이 엣지 디바이스를 집요하게 공격하는 사례도 늘어날 것으로 보인다. 이들은 숙련된 디바이스 지식을 활용하고, 제로데이 결함을 악용하는 추세를 보이고 있다.

이번 이반티 VPN 공격 역시 그간의 중국 연계 스파이 그룹에서 관찰된 그들 특유의 수법과 일치한다. 이들은 늘 중요한 에지 인프라에 대한 공격이나 맞춤형 맬웨어에 주력하고 있다.

이에 미국 사이버 보안 및 인프라 보안 기관(CISA)은 위험에 처한 기업에 대한 권고안을 발표했다. 해당 기관은 관련 보안 패치를 적용하는 것은 물론, 기업에 외부 무결성 검사 도구(ICT)를 실행할 것을 권한다. 또한 영향을 받는 이반티 기기에 연결된 모든 시스템의 위협 요인을 제거하는 한편 반드시 ‘초기화’를 수행해야 한다고 밝혔다.