CISA, 이반티 ‘커넥트 시큐어’ VPN 대상 신규 멀웨어 경고

[아이티데일리] ‘이반티 커넥트 시큐어(Ivanti Connect Secure)’를 대상으로 공격을 시도하는 새로운 멀웨어 변종 ‘리서지(Resurge)’가 발견됐다.

미국 사이버보안 및 인프라 보안국(CISA)은 지난 28일(현지 시각) 이반티 커넥트 시큐어와 관련한 멀웨어 ‘리서지’에 대한 분석 보고서를 발표했다. 이반티 커넥트 시큐어는 내부망에 대한 원격 접속을 제공하는 SSL 가상사설망(VPN) 솔루션이다.

위협 행위자는 리서지로 취약점 ‘CVE-2025-0282’를 악용해 공격을 감행했다. CVE-2025-0282는 지난 1월 8일 공개된 제로데이 취약점으로, 이번티 커넥트 시큐어에서 인증되지 않은 원격 코드를 실행시켜 네트워크에 손상을 입힐 수 있었다. 추가로 백도어를 설치해 시스템 전반에 영향을 미치는 일도 가능했다.

이반티와 구글 클라우드 맨디언트는 이 취약점을 발견한 후 조사를 이어갔다. 그 결과 중국과 연계된 지능형 지속 위협(APT) 그룹 ‘UNC5337’이 지난해 12월부터 취약점을 악용해 온 사실을 확인했다.

CISA는 새로 발견된 리서지가 UNC5337이 사용한 스판(SPAWN) 멀웨어 계열의 일종인 ‘스판키메라(SPAWNCHIMERA)와 유사하다고 발표했다. 리서지와 스판 모두 시스템 재부팅 후에도 정상 작동한다는 점이 같았다.

다만 리서지는 스판 계열과 달리 웹셸(Web Shell)을 만들 수 있는 고유의 명령 기능을 갖췄다. 웹셸은 원격으로 웹 서버에 명령을 실행할 수 있는 악성 스크립트로, 이를 통해 서버 권한 획득이나 내부 시스템 탐색이 가능하다. 위협 행위자는 웹셸로 자격증명 수집, 비밀번호 재설정 등을 시도할 수 있었다.

CVE-2025-0282를 악용한 공격 시도가 얼마나 이뤄졌는지 명확하지 않다. 일부 사례를 통해 그 규모를 짐작하는 수준이다. 위협 모니터링 플랫폼 섀도우서버 파운데이션(Shadowserver Foundation)은 지난 1월 22일 기준 해당 취약점을 통해 379개의 백도어(Backdoor) 인스턴스가 발생했다고 밝힌 바 있다.

영국 국가 도메인(.uk)을 관리하는 노미넷(Nominet)에서는 지난 1월 13일(현지 시각) CVE-2025-0282를 악용한 네트워크 침해를 받았다고 발표했다. 당시 노미넷 측은 “해커가 이반티에서 제공한 서드파티(Third Party) VPN 소프트웨어로 내부 접근했다. 제로데이 취약점을 이용한 탓에 패치를 적용한 시간이 없었다”고 설명했다.

CISA는 이반티 커넥트 시큐어 사용자에게 강력한 보안 조치를 강조했다. 외부 무결성 검사 도구(ICT)로 영향을 받은 이반티 장치에 연결돼 있는 시스템 대상으로 검사를 실행하기를 권고했다. 위협이 발견되지 않았을 시에도 높은 보안 수준을 위해 장치에 대한 공장 초기화를 실행할 것을 촉구했다.