기업의 데이터를 보호하는 데 있어 백업 솔루션은 최후의 방어선이라고 할 수 있어요.
그런데… 그 백업 시스템에 문이 활짝 열려 있다면? 🤯
최근 보안 연구팀 watchTowr가 Commvault Command Center에서 발견한
최고 수준의 치명적 취약점(CVE-2025-34028)이 바로 그런 시나리오를 현실로 만들 수 있습니다.
🛑 이 취약점, 얼마나 위험한가요?
간단히 말해서, 인증 없이 원격에서 악성코드를 실행할 수 있는 버그입니다.
즉, 누가 봐도 랜섬웨어나 데이터 탈취 공격에 딱 좋은 표적이라는 거죠.
이 취약점은 다음 버전에 해당됩니다:
- Commvault 11.38.0 ~ 11.38.19 (Windows & Linux)
패치는 11.38.20 버전에서 이루어졌으며,
자동 업데이트 기능이 활성화된 시스템이라면 이미 적용되었을 수도 있어요.
하지만, 이건 자동이라고 믿지 말고 직접 확인해야 합니다! ✅
🧪 어떻게 공격이 이루어지나요?
watchTowr는 실제 공격 시나리오도 공개했어요.
공격자가 Commvault의 웹 인터페이스(Command Center)에 특정 HTTP 요청을 보내면,
- 서버가 외부 주소에서 악성 ZIP 파일을 다운로드하고,
- 내부에 포함된 웹쉘(Web Shell) 파일을 특정 위치에 저장한 뒤,
- 그 웹쉘을 통해 원격 코드 실행(Remote Code Execution)까지!
이 모든 게 인증 없이 가능하다는 게 핵심입니다. 😱
🧠 왜 이게 더 무서운가요?
Commvault는 전 세계적으로 100,000개 이상의 고객을 보유하고 있는 백업/복구 솔루션 기업입니다.
고객사에는 3M, Sony, Panasonic, Deloitte, AstraZeneca 등 쟁쟁한 글로벌 기업도 포함돼요.
문제는 이 솔루션이 백업 데이터를 다룬다는 점이에요.
- 💾 중요한 시스템 백업
- 🔐 민감한 사용자 정보
- 🏢 기업의 내부 시스템 접근 권한
이런 고급 권한이 공격자에게 넘어간다?
그야말로 전체 기업 시스템을 인질로 잡는 것과 마찬가지입니다.
🔧 기업이 당장 해야 할 5가지 조치
전문가들은 이 문제를 "보안 긴급 변경 항목"으로 간주하라고 경고하고 있어요.
기업이라면 다음을 꼭 수행하세요:
- 패치 버전(11.38.20) 적용 여부 확인
→ 자동 업데이트 믿지 말고 직접 확인! - Command Center의 인터넷 접근 차단
→ 방화벽 규칙이나 ACL로 차단 - 이상 트래픽 모니터링
→ /reports/MetricsUpload 경로 접근, Temp 디렉터리의 수상한 파일 생성 등 - 인터페이스 분리 및 격리
→ Command Center는 일반 네트워크와 분리해 운영하세요 - 전체 로그 기록 및 감시 강화
→ 모든 활동을 실시간 로깅하고 이상 행동 탐지
🔐 백업 시스템이라고 안심하면 안 되는 이유
많은 기업이 백업 시스템을 "마지막 보루"로 여겨 상대적으로 보안 감시를 덜합니다.
하지만 이번처럼 Commvault 같은 백업 솔루션 자체가 뚫릴 경우,
공격자는 단순 침해를 넘어서 복구 자체를 방해하거나 가짜 백업으로 위장할 수도 있어요.
그리고 요즘 공격자들은 실제로 그렇게 행동합니다.
📉 그럼 이슈는 끝났나요?
아니요.
watchTowr는 이미 PoC(개념 증명) 코드까지 공개했어요.
즉, 실제로 공격 도구가 돌고 있을 가능성도 있습니다.
따라서 “아무 문제 없어 보이니까…” 라는 마인드는 금물!
취약한 시스템이 외부에 노출된 순간부터 위험은 실존합니다.
📌 마무리하며
백업은 회복력을 위한 핵심입니다.
하지만 그 백업 시스템이 공격자에게 백도어(backdoor)처럼 작용한다면,
그건 회복력이 아니라 치명적 리스크로 바뀌는 거죠.
패치를 확인하고, 네트워크를 점검하며,
무엇보다도 "백업 시스템도 엄연한 공격 벡터"라는 인식을 가져야 할 때입니다. 🙏