Security

CISA, 2년 전 패치된 페이퍼컷 취약점 관련 새 권고문 발표

JustAnotherEditor

29 Jul 2025 — 6 min read

💡

Editor's Pick
- 페이퍼컷, 2년 전 고위험군 취약점 패치
- 최근 이 취약점 익스플로잇 하는 공격 등장
- CISA가 KEV에 등재

미국 사이버 보안 전담 기관인 CISA가 새로운 취약점에 대한 보안 권고문을 발표했다. 새로 발견된 취약점은 아니다. CVE-2023-2533으로, 이미 2년 전에 패치된 바 있는 것인데, 최근 해커들이 활발히 익스플로잇 하기 시작해 새삼스럽게 경고문을 재발표 한 것이다.

CVE-2023-2533은 인쇄 관리 소프트웨어인 페이퍼컷(PaperCut)에서 발견된 것이다. 원격에서 코드를 실행할 수 있게 해 주는 고위험군 취약점이다. 공식적으로는 ‘사이트 간 요청 위조(Cross-site Request Forgery, CSRF)’ 취약점으로 분류된다. 페이퍼컷은 전 세계 7만 개 이상 기업/기관들에서 자사 제품을 사용하고 있다고 한다. 파급력이 적지 않은 문제라는 것이다.

성공적인 익스플로잇을 위해서는 선결되어야 할 조건이 있다. CVE-2023-2533이 패치되지 않은 상태로 남아 있어야 하고, 공격 대상이 로그인된 세션을 유지하고 있어야 한다는 것이다. “두 조건이 맞아 떨어져 익스플로잇에 성공할 경우 공격자는 보안 설정을 변경하거나 임의 코드 실행 공격을 할 수 있게 됩니다.” CISA의 설명이다.

첫째 조건인 ‘패치되지 않은 상태가 유지되어야 한다’는 성립이 매우 쉬운 것으로 정평이 나있다. 사용자들이 보안 패치를 생략하거나 무시하는 일이 부지기수이기 때문이다. 게다가 패치를 무력화시키는 다운그레이드 공격이라는 기술도 존재한다.

두 번째 조건 역시 해커들 사이에서는 그리 까다롭지 않은 것으로 알려져 있다. 이를 공략하는 방법은 대략 5가지로 정리된다.

1) 타이밍 공격 : 피해자의 근무 시간(혹은 활동 시간)에 공격을 진행한다.

2) 피싱 공격 : 피해자가 로그인을 하도록 꾀어낸다.

3) CSRF 공격용 페이로드 임베딩 : 공격에 쓸 페이로드를 피해자가 신뢰하는 컨텍스트에 삽입한다.

4) 사용자들이 로그아웃을 잘 하지 않는다는 것을 악용한다.

5) 피해자 세션으로 로그인 한 후 ‘로그인 상태 유지’ 기능을 악용한다.

CISA는 이 취약점은 긴급 패치 목록인 KEV에 추가했다. 그렇다는 건 실제 익스플로잇 공격이 존재한다는 뜻인데, 사건에 대한 구체적인 언급은 아직 없다. 미국 연방 기관은 2025년 8월 18일까지 이 취약점이 존재하는 모든 시스템을 찾아내 업데이트를 완료해야 한다. 현재 인터넷에 노출된 취약점은 약 1100개 이상인 것으로 추정된다.

페이퍼컷은 위에서 언급한 것처럼 사용자가 상당히 많기 때문에 사이버 공격자들이 종종 익스플로잇 하는 편이다. CVE-2023-27350와 CVE-2023-27351 취약점의 경우, 록빗(Lockbit)과 클롭(Clop)이라는 악명 높은 랜섬웨어 조직들이 악용한 사례가 있다. 이란의 머디워터(MuddyWater) 역시 이 취약점들을 익스플로잇 했었다.

취약점 패치는 ‘우선순위’를 전략적으로 결정해야 하는 문제다. 보안 담당자들 입장에서는 심각도 점수가 높은 걸 먼저 해야 할 수도 있고, 파급력이 높은 걸 우선시 해야 할 수도 있다. 많은 경우 CVSS 점수를 참고하는데, 현실적 상황(실제 익스플로잇 가능성 등)이 잘 반영되지 않는다는 의견들이 나오고 있다. KEV는 ‘실제 공격이 있었던 취약점’만 뽑아 목록으로 만든 것으로, 최근에는 여기에 기재된 것들이 먼저 패치되는 추세다.