파일 전송 앱 크러시FTP 서버의 관리자 되고 싶다면?
- 파일 전송 앱, 요즘 해커들에게 인기
- 크러시FTP 서버 취약점 노리면 관리자 될 수 있어
- 아직 공격자들의 공격 방법은 공개되지 않아
파일 전송 기술인 크러시FTP(CrushFTP)에서 초고위험도 취약점이 발견됐다. 이미 공격자들 사이에서 활발히 익스플로잇 되고 있는 것으로 보도되고 있어, 조속한 패치 적용이 권고된다. 이 취약점을 익스플로잇 하는 데 성공한 공격자는 서버 내에서 관리자 권한을 가져갈 수 있게 된다. 파일 전송 솔루션의 서버이기 때문에 이는 곧 다량의 정보 유출로 이어질 수 있다.
문제의 취약점은 CVE-2025-54309로, CVSS 기준 9.0점을 받았을 정도로 위험하다. 10.8.5 이전 버전과 11.3.4_23 이전 버전에서 발견된다. 이미 1만 개 이상의 크러시FTP 인스턴스들이 익스플로잇 되고 있다고 한다. 최초 익스플로잇 시도 발견 일자는 7월 18일이지만, 공격은 그 전부터 있었을 수 있다고 크러시FTP 개발사 측은 경고했다. 즉 공격이 지금 이뤄지고 있는지 살피는 것도 중요하지만, 그 이전에 있었을지 모르는 공격의 흔적도 찾아내 제거해야 한다는 의미다.
개발사의 말 vs. 보안 업체의 말
미국 국가 운영 취약점 데이터베이스인 NVD에 따르면 CVE-2025-54309는 “DMZ 프록시 기능이 사용되지 않는 상태에서 특정 크러시FTP 버전들이 AS2 유효성 검사를 완료하지 못하며, 그에 따라 공격자가 HTTPS를 통해 관리자 권한을 취득하게 된다”고 한다. 여기서 ‘DMZ 프록시 기능이 사용되지 않는 상태’라는 조건이 중요한데, 이 때문에 개발사 측은 DMZ 프록시 기능을 활성화 할 것을 권고하고 있기도 하다.
하지만 보안 업체 라피드7(Rapid7)은 여기에 반박하는 성명문을 냈다. “개발사의 주장이 사실이라는 것을 확신할 수 없는 시점”이라며 “DMZ만을 공격 예방 및 방어 수단으로서 믿고 의지하는 것은 위험한 일”이라고 지적했다. 현대 네트워크 내에서 한두 가지 기술로 방어막을 형성하는 것이 얼마나 무용지물인지는 지난 수년 동안의 사례에서 입증되어 왔다. 보안의 기본은 ‘다층 구조’이다. 여러 개의 방어 장치들을 겹겹이, 상호보완적으로 쌓아올려야 한다는 것이다.
크러시FTP는 정부, 의료, 기업 환경에서 민감한 파일을 전송할 때 사용되는 기술로, 세계적으로 널리 사용되고 있다. 그렇기 때문에 관리자 권한을 누군가 임의로 가져갈 수 있게 되는 상황 자체가 매우 위험하다고 할 수 있다. “관리자가 되면 파일 전송 서버에 유출 멀웨어를 심을 수도, 백도어를 심을 수도, 민감한 정보를 삭제하거나 조작할 수도 있습니다. 크러시FTP를 사용해 왔다면 최근의 로그 등을 꼼꼼하게 검사해야 할 것입니다.”
로그 외에 살펴야 할 것들은 무엇일까? 크러시FTP 개발사 측은 “지나치게 긴 임의 사용자 ID가 생성됐다거나, 관리자 권한을 가진 새 계정이 만들어졌다면 의심해야 한다”고 말한다. “또, MainUsers/default/user.xml 파일이 최근 수정됐다거나, last_logins값이 바뀌었다는 것도 좋지 않은 신호입니다. 웹 인터페이스에서 버튼이 사라졌거나, 일반 사용자로 식별되던 계정에 관리자 전용 버튼이 생긴 것도 문제일 수 있습니다.”
점검해야 할 것들
그러면서 점검해야 할 것들을 다음과 같이 요약했다.
1) user.xml 파일 수정 시각
2) 관리자 로그인 이벤트와 공개 IP의 상관관계
3) 중요 폴더에서의 권한 변경 내역
4) 새 사용자 계정 관련 비정상 접근 로그
5) 설명되지 않은 관리자 권한 상승 사례
라피드7은 다음과 같은 권고 조치가 있다고 짚었다.
1) 백업 폴더에서 이전 기본 사용자를 복원한다
2) 업로드 및 다운로드 보고서를 확인하여 수상한 전송 이력이 있나 확인한다
3) 관리 작업용 IP를 제한한다
4) 크러시FTP 서버에 접근 가능한 IP를 허용 목록으로 설정한다
5) 기업 사용자라면 DMZ 크러시FTP 인스턴스로 전환한다
6) 자동 업데이트 활성화 상태를 유지한다
“대응책 대부분 ‘기본기’에 해당하는 건, 아직 실제 해커들의 익스플로잇 방식이 알려지지 않았기 때문입니다. 공격 사례가 좀 더 면밀히 분석되어 공격자들의 기법을 상세히 파악한다면 좀 더 구체적인 대응책이 나올 겁니다.”
크러시FTP에서는 작년 4월에도 초고위험도 취약점이 발견된 바 있다. CVE-2024-4040으로, CVSS 기준 9.8점을 받았었다. 이 취약점 역시 실제 공격에 연루됐다. 파일 전송 프로그램들이 요 몇 년 사이 지속적으로 공격에 노출되고 있다는 것도 염두에 두어야 할 일이다. 사용자 기업이라면 사내 사용되고 있는 파일 전송 솔루션들을 파악해 최신 업데이트를 하고, 관련 로그 및 위 점검 사항들을 검토하는 게 좋다고 보안 전문가들은 권장한다.
