삼성 MagicINFO 보안 패치, 알고 보니 '불완전'?! 😱

최근 보안 커뮤니티와 기업들 사이에서 다시 한 번 충격을 안겨준 사건이 발생했어요.
바로 삼성의 디지털 사이니지용 콘텐츠 관리 시스템(CMS)인
MagicINFO의 치명적인 취약점(CVE-2024-7399)이 여전히 제대로 패치되지 않았다는 사실이 드러났거든요.
심지어! 보안 패치까지 적용한 시스템도 해킹당하고 있다는 소식이 전해졌습니다. 😨

---

❗ 어떤 취약점이길래?

문제가 된 CVE-2024-7399는 사용자 입력값이 제대로 필터링되지 않아 공격자가 인증 없이도
JSP 웹셸을 서버에 업로드하고, 시스템 권한으로 악성 코드를 실행할 수 있는 매우 위험한 취약점이에요.

• 📌 CVSS 심각도 점수: 8.8 (High)
• 📌 영향받는 제품: MagicINFO 9 Server (버전 21.1040.2 ~ 21.1050.0)
• 📌 공격자 권한: 없음 (비인증 사용자도 공격 가능)

지난 2024년 8월에 삼성은 이 취약점에 대한 보안 패치를 발표했지만,
최근 Huntress와 Arctic Wolf 등의 보안 업체가 확인한 바에 따르면,
이 패치를 적용한 시스템도 여전히 해킹당하고 있다는 사실이 밝혀졌습니다.

---

🧪 PoC도 공개됐어요

이 취약점은 최근 공개된 PoC(Proof of Concept) 도구로 인해 더욱 쉽게 악용되고 있어요.
현재 공격자들은 공개된 코드를 활용해 MagicINFO 서버를 공격하고 있고,
이미 미라이(Mirai) 기반 봇넷이 이를 이용해 대규모 공격을 벌이고 있다는 경고도 나왔습니다.

특히 패치가 적용된 최신 버전 21.1050.0도 공격이 가능하다는 사실이 보안 분석 과정에서 입증됐는데요,
이 말은 곧 삼성의 패치가 불완전하거나, 근본적인 원인이 해결되지 않았다는 뜻이겠죠. 🧨

---

🛠️ 실제 공격 흐름은?

1. 공격자가 MagicINFO 서버에 접근
2. JSP 파일 형태의 웹셸을 업로드
3. Apache Tomcat 환경 하에서 원격 코드 실행
4. 서버를 완전히 장악하거나 봇넷에 편입

이렇게 단순한 절차로 공격이 가능한 상황에서, 인터넷에 노출된 MagicINFO 서버는 정말 위험천만한 상태입니다. 💣

---

🔐 그럼 지금 무엇을 해야 할까요?

Huntress와 SANS의 보안 연구원들은 다음과 같은 조치를 강력히 권고하고 있어요.

✅ MagicINFO 서버를 외부 인터넷에서 차단하세요! (내부망 전용으로 전환)

✅ 공식적인 완전한 보안 패치가 나올 때까지 기다려야 합니다.

✅ 이미 공격당했을 가능성이 있으니, 로그 분석 및 이상 징후 탐지를 시작하세요.

✅ 방화벽 및 보안 솔루션에서 JSP 업로드 탐지 규칙을 추가하는 것도 도움이 됩니다.

---

🤔 삼성은 뭘 했을까?

보안 업체인 SSD Disclosure는 해당 취약점을 삼성에 2025년 1월 12일에 보고했지만,
삼성은 이 보고서를 중복된 제보로 처리하고 별다른 대응을 하지 않은 것으로 알려졌어요.
이후 취약점이 악용되고 있다는 사실이 알려지고 나서야 다시 관심을 갖게 된 상황이죠.

이런 사례를 보면, 보안 리포트에 대한 제조사의 빠르고 정확한 대응이 얼마나 중요한지 다시 한 번 느끼게 됩니다. 💡

---

📣 마무리하며…

삼성 MagicINFO는 전 세계적으로 많은 기업과 기관에서 사용 중인 솔루션이에요.
특히 공공기관, 광고 기업, 디지털 키오스크 운영사 등에서 많이 쓰이기 때문에,
이번 취약점은 단순한 기술 문제가 아니라 실제 비즈니스 중단과 보안사고로 이어질 수 있는 심각한 리스크를 안고 있습니다.

📌 꼭 기억하세요:

• 보안 패치만 믿지 말고 직접 테스트하세요
• 인터넷에 CMS 시스템을 직접 노출하지 마세요
• 공격 징후를 사전에 탐지할 수 있도록 보안 로그를 꾸준히 모니터링하세요

지금이라도 MagicINFO를 사용 중이라면, 서버를 점검하고 접속 제한부터 적용해보세요.
완전한 패치가 나올 때까지는 당분간 인터넷에서 격리된 상태로 운용하는 것이 가장 안전한 방법입니다. 🛡️