사이버아크, 취약점 5건 패치 완료…신속·투명한 대응 강조

[아이티데일리] 특권 계정 접근 관리(Privileged Access Management, PAM) 분야 글로벌 선도 기업인 사이버아크(CyberArk)가 최근 공개된 5건의 취약점에 대해 빠르고 신속한 대응을 하고 있다고 강조했다. 회사는 “취약점이 알려진 후 사흘 만에 패치를 배포했으며, 고객의 보안을 최우선으로 삼고 있다”고 밝혔다.

이번에 발견된 취약점은 △CVE-2025-49827 △CVE-2025-49831 △CVE-2025-49828 △CVE-2025-49830 △CVE-2025-49829 등 5건이다. (관련기사 ☞ 사이버아크·하시코프 시크릿 관리 도구 제로데이 취약점 경보)

해당 결함들은 시크릿 매니저(CyberArk Secrets Manager), 셀프-호스티드(Self-Hosted, 구 컨저 엔터프라이즈) 및 컨저 오픈 소스(Conjur OSS)에서 ▲IAM 인증자 우회 ▲잘못 구성된 네트워크 장치를 통한 권한 탈취 ▲원격 코드 실행 ▲경로 탐색 및 경로 파일 공개 ▲검증 누락 등을 초래할 수 있는 수준으로 CVSS 9.1(치명)에서 6.0(보통)까지 광범위한 위협을 내포했다.

사이버아크는 취약점 공개와 동시에 이스라엘의 신생 사이버 보안 기업 사이아타(Cyata)의 야든 포라트(Yarden Porat) 연구원이 제보한 문제를 확인하고, 패치 개발과 검증을 즉각 착수해 국가 취약점 데이터베이스(NVD)에 세부 정보를 공개했다고 밝히며 대응 과정에서의 투명성을 강조했다.

또한 패치 가능한 제품군과 패치 다운로드 링크를 사이버아크 마켓플레이스(CyberArk Marketplace)와 깃허브(GitHub) 및 도커허브(DockerHub)에 게시했으며, 지원팀과 고객 성공팀이 이메일 및 파트너 채널을 통해 직접 연락을 취해 단계별 복구 지원을 제공 중이라고 밝혔다.

사이버아크 측은 “취약점들이 실제로 악용된 사례는 없었지만, 영향을 받는 소프트웨어의 모든 사용자들이 새로 출시된 패치를 최대한 빨리 적용할 것을 강력하게 권장한다”면서 “사이버아크는 고객의 보안을 최우선으로 생각하며, 모든 단계에서 고객을 지원하기 위해 최선의 노력을 기울이고 있다”고 강조했다. 사이버아크는 이번 문제를 반면교사 삼아 사후 분석을 강화하고, 향후 유사 결함 예방을 위한 개발·테스트 프로세스에 해당 사례를 통합한다는 계획이다.

국내 사이버 보안 업계 한 관계자는 “사이버아크가 외부 연구진과 협력해 단기간 내 치명적 취약점을 해결한 것은 모범 사례라 할 수 있다”며 “솔루션을 사용하는 기업 고객들은 이번 사례를 계기로 주기적인 보안 공지 확인과 즉각적인 패치 적용 프로세스를 갖춰야 한다”고 조언했다.

사이버아크의 커트 샌드(Kurt Sand) 머신 아이덴티티 보안 총괄 매니저는 “고객과 파트너, 보안 커뮤니티가 보여준 신뢰와 이해에 감사한다”며 “사이버아크는 고객의 가장 중요한 자산을 보호하는 사명을 지키기 위해 신속한 대응과 책임 있는 정보 공개를 지속하겠다”고 밝혔다.

한편, 사이버아크는 최근 세계 최대 사이버 보안 기업으로 덩치를 키우고 있는 팔로알토네트웍스와 약 250억 달러(약 34조 7,225억 원) 규모의 인수합병 계약을 체결하며 업계 지각 변동의 중심에 서 있다.