🦅 한 번의 클릭이 치명상! Stealth Falcon의 WEBDAV 제로데이 공격과 6월 MS 대규모 패치의 의미

최근 Check Point Research가 발표한 보고서에 따르면, 중동 지역 국방·정부기관을 겨냥한 새로운 제로데이 취약점 공격이 실제로 발생해 전 세계 사이버보안 업계에 큰 경각심을 주고 있습니다.
이번 취약점은 Microsoft WEBDAV(웹 기반 파일 공유/협업 기능)에 존재하는 원격코드실행(RCE) 취약점으로, 공격자는 단 한 번의 악성 URL 클릭만으로 피해 시스템을 완벽하게 장악할 수 있습니다.

이 글에서는 실제 공격 시나리오와 Stealth Falcon의 침투 전략, Horus Agent 백도어, 실무 대응법, 6월 MS 패치데이 주요 보안 이슈까지 알기 쉽게 풀어봅니다.

---

🎯 WEBDAV 취약점(CVE-2025-33053), 어떻게 뚫렸나?

WEBDAV(Web Distributed Authoring and Versioning)는 윈도우 환경에서 흔히 쓰이는 ‘웹 폴더’ 기능의 기반 프로토콜로, 사용자가 원격 웹 서버의 파일을 탐색기처럼 쉽게 관리할 수 있게 해주는 기술입니다.

이번에 밝혀진 취약점(CVE-2025-33053, CVSS 8.8)은 공격자가 조작된 URL 파일을 만들어 피해자가 클릭하는 순간

• WEBDAV 서버와 자동으로 연결
• 윈도우 내장 명령어를 통해 악성 페이로드(백도어) 자동 실행
• 사용자 인증 불필요, 1-Click RCE

로 이어집니다. 실제로 공격자는 이메일 스피어피싱에 이 URL을 담아 방어망을 우회했고,
Microsoft 역시 사태의 심각성을 인식해 지원이 종료된 Windows 8, Server 2012까지 예외적으로 긴급 패치를 배포했습니다.

---

🦅 Stealth Falcon: 최신 스파이웨어 Horus Agent와 실전 공격 흐름

Stealth Falcon(일명 FruityArmor)은 UAE(아랍에미리트) 지원을 받는 것으로 알려진 중동권 APT 조직으로,
이미 2012년부터 국방, 외교, 정부, 군수 분야를 겨냥해 고급형 제로데이와 맞춤형 악성코드를 운용해온 그룹입니다.

공격 흐름 요약

• 피해자(국방기관 등)에 정교하게 위장된 이메일·메신저로 피싱 링크 전송
• WEBDAV 제로데이 취약점 URL 클릭 시 자동 감염
• 내장 윈도우 도구(LOLBins, Living Off the Land Binaries) 활용해 시스템 내 작업 디렉터리 은닉
• C2(명령제어)로 Horus Agent 백도어 심고 감시/추가 공격 수행

주목 포인트:

• Mythic(공격자용 오픈소스 C2 프레임워크)와의 연동
• Horus Agent의 맞춤형 기능: 피해자 자산 평가→고가치 타깃 선별→2차 공격
• 탐지 회피 및 분석 방어 기능(안티-디버깅, 난독화 등) 대폭 강화

이 조직은 Horus Agent를 통해 기기의 프로세스, 서비스, 네트워크 정보 등 상세 환경정보를 정밀하게 수집한 뒤,
더 가치가 높다고 판단되는 타깃에게만 2차 페이로드(키로거, 백도어, 크리덴셜 덤퍼 등)를 단계적으로 투입합니다.

---

🔥 이번 6월 MS 패치데이, 반드시 주목해야 할 취약점

6월 보안 패치에서는 총 66건의 신규 취약점이 공개됐고,
그 중 10건은 ‘치명적(Critical)’ 등급, 나머지는 ‘중요(Important)’ 등급입니다.

반드시 빠르게 패치해야 할 주요 CVE

• WEBDAV RCE(CVE-2025-33053):
  EOL(지원종료) OS까지 긴급 패치된 ‘1-Click RCE’ 사례.
  피해자는 반드시 6월 보안업데이트 적용 필수!
• MS Office Preview Pane RCE (CVE-2025-47162 등):
  이메일 미리보기만으로도 감염 가능(사용자 클릭 불필요).
  최근 공격 트렌드와 맞물려 대규모 유포 위험 높음.
• SMB Elevation of Privilege (CVE-2025-33073):
  공격자가 조작한 SMB 서버에 접속만 해도 SYSTEM 권한 탈취 가능.
  PoC 코드도 이미 공개돼 있어 신속한 조치 필요.
• SharePoint RCE (CVE-2025-47172):
  SQL Injection + OS 명령 실행 결합,
  공격자는 데이터베이스 크리덴셜 탈취→권한 상승→랜섬웨어/데이터 탈취까지 일거에 가능.
• Windows Common Log File System EoP (CVE-2025-32713):최근 실전 공격에서 ‘살아있는’ 윈도우 로그 시스템 악용 사례 다수.
  실제 기업에서 빈번히 남용되는 지점이므로 무시하면 안 됨.

---

🚨 실무 보안 담당자를 위한 대응 체크리스트

✔️ 1. 긴급 패치 적용

• Windows, Office, Server 등 전 제품군 6월 패치 즉시 적용
• EOL OS(Windows 8, Server 2012)도 이번만큼은 업데이트 권고

✔️ 2. 사내 보안 교육 강화

• "링크 클릭 한번"으로 전체 네트워크가 뚫릴 수 있음을 임직원에 반복 교육
• WEBDAV 등 파일 공유 기능 제한, 불필요한 프로토콜 차단

✔️ 3. 외부 유입 탐지·방어

• 메일, 메시지 등 외부 전달 URL 감시 및 자동 분석 솔루션 연동
• ‘LOLBins’ 활용 비정상 프로세스 모니터링 강화

✔️ 4. 행위 기반 탐지 도입

• Horus Agent처럼 맞춤형/신형 백도어 대응 위해
  EDR/XDR, 실시간 행위탐지 솔루션 적극 도입 필요

✔️ 5. 네트워크 세분화 및 권한 최소화

• 고위험 자산(국방/정부/클라우드 등) 별도 네트워크 분리
• 필요 최소 권한만 할당, 계정 관리 철저

---

🌐 왜 이번 WEBDAV 제로데이가 중요한가?

• 단 한 번의 클릭, 최소 권한 공격 → ‘스텔스’ 침입 가능
• 신형 백도어(Horus Agent)는 ‘가치평가-맞춤공격-탐지회피’까지 진화
• EOL OS까지 보안패치 배포는, MS가 실전 공격 위험을 그만큼 높게 본다는 뜻
• 최근 Middle East, Asia, 정부/국방/방위산업체 대상으로 공격 급증
• 조직의 데이터와 인프라 전체가 위험에 노출될 수 있으니 사전 예방 필수!

---

📝 마무리

WEBDAV 제로데이와 Stealth Falcon 사례는
"단 한 번의 실수(클릭)가 치명적 결과를 부른다"는 경고입니다.
신속한 패치, 실무자 교육, 보안 솔루션 업그레이드,
그리고 ‘공격자 입장’에서 내 시스템을 점검하는 자세가 무엇보다 중요합니다.

지금 바로 Windows 및 관련 제품의 최신 보안 패치를 적용하고,
이메일/메신저 링크, 알 수 없는 파일 실행에 각별히 주의하세요!