사이버아크·하시코프 시크릿 관리 도구 제로데이 취약점 경보

[아이티데일리] 기업들이 IT 시스템 운영에 필요한 패스워드 및 중요 정보를 저장하는 ‘시크릿(secrets) 관리 도구’에서 심각한 보안 취약점이 발견돼 주의가 필요하다. 전 세계적으로 널리 쓰이는 사이버아크와 하시코프 양사의 제품이다. 최신 패치를 적용하지 않았다면 공격자들이 공략 가능한 취약점을 보유한 것이므로 해당 도구 사용자들은 확인 후 즉각 업데이트해야 한다.

이스라엘의 신생 사이버 보안 기업 사이아타(Cyata)는 지난주 라스베이거스에서 열린 ‘블랙햇 USA 2025’ 보안 컨퍼런스에서 ‘사이버아크 컨저(CyberArk Conjur)’와 ‘하시코프 볼트(HashiCorp Vault)’에서 총 14개의 보안 취약점이 확인됐으며, 공격자가 패스워드나 인증 없이도 시스템을 완전히 장악할 수 있다고 경고했다.

사이아타의 샤하르 탈(Shahar Tal) CEO는 “공격자가 인증 없이 시크릿 저장소를 뚫을 수 있다면 말 그대로 왕국의 열쇠를 얻게 되는 것”이라며 “조직 전체의 모든 데이터베이스, API, 클라우드 자원에 접근할 수 있게 된다”고 했다.

시크릿 관리 도구는 기업이 각종 패스워드, API 키, 인증서 같은 중요 보안 정보를 안전하게 보관하기 위해 사용하는 시스템이다. 회사의 모든 보안 정보가 은행의 금고와 같은 곳에 모여 있는 것이라 할 수 있다. 당연하게도 이런 시스템이 뚫리면 회사 전체 시스템에 무제한으로 접근할 수 있게 된다.

사이버아크 컨저에서 발견된 취약점은 ‘완전한 비인증 원격 코드 실행 체인’을 구성할 수 있어 가장 심각한 수준인 것으로 평가된다. 컨저 서비스의 기본 아마존웹서비스(AWS) 통합 설정에서 취약점이 발생하는데, 공격자가 유효한 자격 증명이나 토큰, 심지어 실제 AWS 계정이 없이도 전체 시스템 제어권을 얻을 수 있게 한다. 이 공격 체인은 AWS 보안 토큰 서비스(STS) 검증을 공격자가 제어하는 서버로 리다이렉트하는 신원 및 접근 관리(IAM) 인증 우회로 시작된다. 이후 공격자는 자격 증명 없이도 원하는 AWS 신원을 가장할 수 있으며, 자신만의 호스트를 생성하고 제어해 원격 코드 실행까지 가능한 ‘처음부터 끝까지 매끄럽게 이어지는’ 공격 체인을 구성할 수 있다.

사이버아크는 지난달 15일 관련 CVE들을 공개했다. CVE-2025-49827과 CVE-2025-49831은 모두 CVSS 9.1점의 ‘치명적’ 등급으로, IAM 인증 우회 취약점이다. CVE-2025-49828은 CVSS 8.6점의 ‘높음’ 등급으로 원격 코드 실행 취약점이며, CVE-2025-49830은 CVSS 7.1점으로 경로 탐색 및 파일 공개 취약점, CVE-2025-49829는 CVSS 6.0점의 ‘중간’ 등급으로 검증 누락 취약점으로 분류됐다.

하시코프 볼트에서도 제품 역사상 첫 원격 코드 실행 취약점이 발견됐다. CVE-2025-6000으로 분류된 이 취약점은 2015년 볼트가 처음 출시된 후부터 있었던 것으로 추정된다. 이는 볼트의 파일 감사 관련 기능이 가진 설계적 결함을 이용한 것으로, 최악의 경우 복호화 관련 파일을 삭제해 영구적으로 데이터 손상을 주면서 이를 빌미로 협박하는 범죄까지 이어질 수 있는 것으로 나타났다. 사이아타 연구진은 “볼트는 중요한 정보를 암호화해 저장하는데, 특정 파일을 삭제하면 관리자조차 복구할 수 없게 만들 수 있다”고 밝혔다.

보안 전문가들은 최근 시크릿 관리 도구의 중요성이 커지면서 이를 노리는 공격도 늘고 있다고 분석한다. 국내 한 보안기업 임원은 “양사 솔루션을 사용하는 고객들이 민간 기업을 중심으로 국내에도 일부 있는 것으로 파악하고 있다. 담당자들은 취약점을 해결한 최신 패치를 즉시 적용하고, 의심스러운 접근 기록을 점검해야 한다”고 조언하면서 “특히 최근 클라우드 환경이 확산되면서 시크릿 관리의 중요성이 더욱 커지고 있다. 자칫 서비스 도입만으로 보안 관련 우려는 없다고 생각할 수 있는 이런 도구들에 대해서도 지속적으로 보안 관련 체계를 점검하는 노력이 필요하다”고 강조했다.