CISA, 2년 전 패치된 페이퍼컷 취약점 관련 새 권고문 발표

미국 사이버 보안 전담 기관인 CISA가 새로운 취약점에 대한 보안 권고문을 발표했다. 새로 발견된 취약점은 아니다. CVE-2023-2533으로, 이미 2년 전에 패치된 바 있는 것인데, 최근 해커들이 활발히 익스플로잇 하기 시작해 새삼스럽게 경고문을 재발표 한 것이다.

CVE-2023-2533은 인쇄 관리 소프트웨어인 페이퍼컷(PaperCut)에서 발견된 것이다. 원격에서 코드를 실행할 수 있게 해 주는 고위험군 취약점이다. 공식적으로는 ‘사이트 간 요청 위조(Cross-site Request Forgery, CSRF)’ 취약점으로 분류된다. 페이퍼컷은 전 세계 7만 개 이상 기업/기관들에서 자사 제품을 사용하고 있다고 한다. 파급력이 적지 않은 문제라는 것이다.

성공적인 익스플로잇을 위해서는 선결되어야 할 조건이 있다. CVE-2023-2533이 패치되지 않은 상태로 남아 있어야 하고, 공격 대상이 로그인된 세션을 유지하고 있어야 한다는 것이다. “두 조건이 맞아 떨어져 익스플로잇에 성공할 경우 공격자는 보안 설정을 변경하거나 임의 코드 실행 공격을 할 수 있게 됩니다.” CISA의 설명이다.

첫째 조건인 ‘패치되지 않은 상태가 유지되어야 한다’는 성립이 매우 쉬운 것으로 정평이 나있다. 사용자들이 보안 패치를 생략하거나 무시하는 일이 부지기수이기 때문이다. 게다가 패치를 무력화시키는 다운그레이드 공격이라는 기술도 존재한다. 

두 번째 조건 역시 해커들 사이에서는 그리 까다롭지 않은 것으로 알려져 있다. 이를 공략하는 방법은 대략 5가지로 정리된다.

1) 타이밍 공격 : 피해자의 근무 시간(혹은 활동 시간)에 공격을 진행한다.

2) 피싱 공격 : 피해자가 로그인을 하도록 꾀어낸다.

3) CSRF 공격용 페이로드 임베딩 : 공격에 쓸 페이로드를 피해자가 신뢰하는 컨텍스트에 삽입한다.

4) 사용자들이 로그아웃을 잘 하지 않는다는 것을 악용한다.

5) 피해자 세션으로 로그인 한 후 ‘로그인 상태 유지’ 기능을 악용한다.

CISA는 이 취약점은 긴급 패치 목록인 KEV에 추가했다. 그렇다는 건 실제 익스플로잇 공격이 존재한다는 뜻인데, 사건에 대한 구체적인 언급은 아직 없다. 미국 연방 기관은 2025년 8월 18일까지 이 취약점이 존재하는 모든 시스템을 찾아내 업데이트를 완료해야 한다. 현재 인터넷에 노출된 취약점은 약 1100개 이상인 것으로 추정된다.

페이퍼컷은 위에서 언급한 것처럼 사용자가 상당히 많기 때문에 사이버 공격자들이 종종 익스플로잇 하는 편이다. CVE-2023-27350와 CVE-2023-27351 취약점의 경우, 록빗(Lockbit)과 클롭(Clop)이라는 악명 높은 랜섬웨어 조직들이 악용한 사례가 있다. 이란의 머디워터(MuddyWater) 역시 이 취약점들을 익스플로잇 했었다.

취약점 패치는 ‘우선순위’를 전략적으로 결정해야 하는 문제다. 보안 담당자들 입장에서는 심각도 점수가 높은 걸 먼저 해야 할 수도 있고, 파급력이 높은 걸 우선시 해야 할 수도 있다. 많은 경우 CVSS 점수를 참고하는데, 현실적 상황(실제 익스플로잇 가능성 등)이 잘 반영되지 않는다는 의견들이 나오고 있다. KEV는 ‘실제 공격이 있었던 취약점’만 뽑아 목록으로 만든 것으로, 최근에는 여기에 기재된 것들이 먼저 패치되는 추세다.

Related Materials

• CISA Issues Alert on PaperCut RCE Vulnerability: CVE-2023-2533 (CSRF→RCE) actively exploited and added to KEV, July 2025 기준 - GBHackers , 2025년
• PaperCut NG/MF Security Bulletin (May 2024): CVE-2024-3037, CVE-2024-8404 등 주요 취약점과 대응 업데이트 안내 공식 보고서 - PaperCut , 2024년
• CISA Adds 3 Actively Exploited Flaws to KEV Catalog, including Critical PaperCut Bug (CVE-2023-27350, RCE) - The Hacker News , 2023년
• U.S. CISA adds Cisco ISE and PaperCut NG/MF flaws (CVE-2023-2533) to KEV Catalog - Security Affairs , 2025년

미국 CISA, 주초부터 취약점 4개를 긴급 패치 목록에 추가

💡Editor’s Pick - 긴급 패치 필요한 취약점 4개 공개 - 2014년에 발견된, 오래된 취약점 포함 - 실제 사례는 미공개 미국 연방 사이버 보안 전담 기관인 CISA가 월요일부터 네 개의 취약점을 KEV에 추가했다. KEV는 실제 해킹 공격에 노출되어 있는 취약점들을 따로 모아둔 목록으로, 패치 우선순위를 설정할 때 가장 먼저 참고해야 할

The Tech EdgeJustAnotherEditor

새 기관 설립한 영국 NCSC, 취약점 관리 수순 밟나

💡Editor’s Pick - 영국 보안 기관, 취약점 연구 전문 센터 설립 - 이를 통해 내부 연구와 외부 네트워크 형성 강화 계획 - 취약점의 ‘국가적’ 관리, 아직 논란거리 영국의 국가사이버보안센터(NCSC)가 취약점 연구를 전문으로 하는 기관을 새로 설립했다. 이를 통해 보안 취약점을 집중적으로 연구하는 것은 물론, 외부 보안 전문가들과의 인적

The Tech EdgeJustAnotherEditor