VeraCore 제로데이 취약점 악용한 공급망 공격 사례

최근 보안 연구원들이 창고 관리 소프트웨어(WMS) 플랫폼인 VeraCore에서 두 개의 제로데이(Zero-day) 취약점이 악용된 공격 사례를 발견하였습니다.

해당 취약점은 사이버 범죄 조직 XE Group에 의해 이용되었으며, 이들은 제조 및 유통 산업의 공급망을 표적으로 삼고 있습니다.

발견된 취약점과 공격 개요

XE Group은 2013년부터 활동해온 사이버 범죄 조직으로, 기존에는 신용카드 스키밍 및 패스워드 탈취형 악성코드를 활용한 공격을 수행해 왔습니다.

그러나 이번 사례에서는 VeraCore의 제로데이 취약점을 이용하여 장기간에 걸쳐 공급망을 침해한 것으로 확인되었습니다.

발견된 주요 취약점은 다음과 같습니다.

• CVE-2024-57968: 파일 업로드 검증 미흡으로 인해 원격 코드 실행이 가능한 치명적인 취약점(CVSS 9.9)
• CVE-2025-25181: SQL 인젝션(SQL Injection) 공격이 가능한 중간 수준의 취약점(CVSS 5.8)

XE Group은 2020년 1월, 당시 알려지지 않았던 **SQL 인젝션 취약점(CVE-2025-25181)**을 이용하여 Microsoft IIS 서버에서 VeraCore WMS를 실행하는 시스템을 최초 침투했습니다.

이후, 공격자는 맞춤형 **웹쉘(WebShell)**을 설치하여 장기간 시스템에 대한 접근을 유지하며 지속적인 악성 활동을 수행해 왔습니다.

연구원들은 해당 IIS 서버가 4년 이상 장기간 감염되어 있었음을 확인했습니다.

공급망 보안 위협과 시사점

XE Group의 활동은 전통적인 금융 범죄에서 벗어나 공급망 공격을 활용하는 방향으로 진화하고 있습니다.

연구 보고서에 따르면 XE Group은 피해 기업의 시스템 내부에서 지속적인 접근을 유지하고 있으며, 웹쉘 재활성화를 통해 장기적인 공격을 수행하는 능력을 보유하고 있습니다.

공급망 보안 관점에서 이번 사례는 기업이 직접 운영하는 시스템뿐만 아니라 서드파티 소프트웨어의 보안성도 철저히 검토해야 한다는 점을 강조합니다.

특히, WMS(창고 관리 시스템)와 같은 핵심 물류 및 유통 관련 소프트웨어는 해킹 시 대규모 피해를 초래할 가능성이 큽니다.

대응 조치 및 보안 권고

현재 VeraCore의 개발사 Advantive는 CVE-2024-57968 취약점에 대한 임시 조치로 파일 업로드 기능을 비활성화하였으나, CVE-2025-25181에 대한 공식적인 패치 여부는 확인되지 않았습니다.

이에 따라 보안 담당자들은 다음과 같은 대응 방안을 고려해야 합니다.

1. IIS 서버 점검 및 웹쉘 탐지: XE Group은 맞춤형 웹쉘을 활용하여 장기간 접근을 유지합니다. 따라서 서버 환경에서 비정상적인 웹쉘 활동을 점검하고 제거해야 합니다.
2. WMS 및 기타 서드파티 소프트웨어 보안 점검: VeraCore뿐만 아니라 기업에서 사용하는 모든 서드파티 소프트웨어의 취약점을 점검하고 최신 보안 업데이트를 적용해야 합니다.
3. SQL 인젝션 방어 강화: 취약점이 패치되지 않은 상태에서 공격을 방어하려면, **웹 애플리케이션 방화벽(WAF)**을 활용하여 SQL 인젝션 공격을 차단하는 것이 중요합니다.
4. 제로트러스트(Zero Trust) 모델 도입: XE Group의 지속적인 접근을 차단하려면, 모든 사용자와 시스템을 지속적으로 검증하는 제로트러스트 보안 모델을 도입하는 것이 효과적입니다.

---

VeraCore 제로데이 취약점을 악용한 XE Group의 공격 사례는 공급망 보안의 중요성을 다시 한번 상기시키는 사건입니다.

기업들은 공급망 내 소프트웨어의 보안 점검을 강화하고, 선제적인 보안 정책을 마련하여 유사한 공격을 예방해야 합니다.

특히 장기간 탐지되지 않은 공격을 방지하려면 지속적인 모니터링과 위협 인텔리전스 활용이 필수적입니다.

향후 추가적인 패치 및 보안 업데이트가 발표될 경우, 신속한 적용이 필요하며 기업 내 WMS 및 관련 인프라의 보안 상태를 재점검하는 것이 권장됩니다.