MSP가 사용하는 도구서 나온 취약점, 이미 익스플로잇 시작

MSP 서비스를 제공하는 업체들 사이에서 인기리에 사용되는 플랫폼인 엔에이블엔센트럴(N-able N-central)에서 두 개의 취약점이 발견됐고, 실제 익스플로잇 공격이 시작됐다는 경고가 정부 차원에서 나오기도 했다. 현재 미국 사이버 보안 전담 기관인 CISA의 KEV 목록에까지 오른 상태다.

엔에이블엔센트럴은 MSP 업체가 원격 모니터링과 관리를 보다 원활하게 할 수 있도록 마련된 플랫폼이다. 윈도, 애플, 리눅스 기반 엔드포인트를 하나의 플랫폼을 통해 효율적으로 관리하고 보호할 수 있도록 해 준다. 일종의 올인원 제품이기 때문에 MSP 제공 업체들 중 중소기업 규모를 갖춘 곳들 사이에서 인기가 높다. 

이번에 발견된 취약점 두 가지는 다음과 같다.
1) CVE-2025-8875 : 임의 명령 실행 공격을 가능하게 해 주는 역직렬화 관련 취약점. 
2) CVE-2025-8876 : 사용자 입력 값을 제대로 확인하지 않아 명령 주입을 가능하게 하는 취약점.
두 취약점 모두 CVSS 점수가 아직 부여되지 않았다.

엔에이블엔센트럴을 사용하고 있다면 8월 13일부터 배포된 2025.3.1 및 2024.6 HF2 버전으로 업데이트를 해야 위 취약점들로부터 안전해질 수 있다. 여기에 더해 다중인증 옵션을 활성화하면 더 탄탄해질 수 있다는 것이 엔에이블엔센트럴 측의 설명이다. 

CISA의 KEV에 취약점 2개 모두 올라갔다는 건, 실제 익스플로잇 공격이 진행 중에 있다는 의미다. 하지만 아직까지 누가 어떤 상황에서 누구를 겨냥해 어떻게 익스플로잇 공격을 실시하고 있는지는 전혀 공개되지 않고 있다. CISA는 물론 엔에이블엔센트럴 측도 이와 관련된 내용은 일절 언급하지 않는다.

MSP 공격은 효율적인 공격
MSP는 공격자들 사이에서 인기가 높은 표적이다. MSP가 제공하는 서비스의 특성상 많은 기업들이 이 MSP에 물려 있기 때문이다. 즉 MSP는 공격자들 눈에 수많은 기업들의 ‘중앙 허브’나 다름이 없다. 하나만 뚫으면 수많은 기업들로 들어가는 통로가 생기는 것이다. 

이번에 문제가 된 엔에이블엔센트럴은 물론 MSP들에서 자주 사용하는 솔루션인 카세야VSA(Kaseya VSA)나 커넥트와이즈 오토메이트(ConnectWise Automate) 등에는 수많은 고객사 시스템에 관리자 권한을 가지고 접근할 수 있게 해 주는 옵션들이 존재한다. 이런 솔루션을 장악한다는 건 공격자 입장에서 잭팟이 터진 것과 마찬가지다.

MSP 인프라는 고객사 입장에서 신뢰할 수밖에 없다는 것 역시 공격자들이 좋아하는 포인트다. 고객사의 방화벽이나 이메일 보안 솔루션, 각종 보안 도구들이 MSP에서 들어오는 트래픽을 거른다면 MSP를 사용할 이유가 없기 때문에 대다수는 화이트리스트 처리한다. 공격자가 MSP 인프라로부터 고객사로 침투해 들어갈 때 경보가 울리지 않는다는 의미다.

공격자들은 MSP를 협박하다가, MSP가 협조하지 않으면 고객사들을 협박하기도 한다. MSP 입장에서는 최대한 빠르게 문제를 해결하고 싶지, 고객사들에까지 소문이 나는 걸 원치 않는다. 따라서 공격자들이 고객사에까지 연락을 취한다는 건 MSP 입장에서 그 무엇보다 큰 압박이 될 수 있다. 고객사를 협박하는 것으로만 끝나면 다행인데, MSP와의 볼 일이 끝난 이후 고객사를 차례로 공격하기도 한다. 공격자 입장에서 MSP는 전략적 활용 가치도 높은 표적이다.

실제 사례들
2021년 레빌(REvil)이라는, 당시 악명 높았던 랜섬웨어 그룹이 한 MSP 업체를 침해하는 데 성공했다. 이 업체는 카세야VSA를 사용하고 있었는데, 레빌에게 장악당했다. 레빌은 카세야VSA를 통해 1천 개가 넘는 고객사에 랜섬웨어를 퍼트리는 데 성공했다. 이 많은 피해자를 만드는 데 걸린 시간은 단 1주였다. MSP가 당했을 때의 파괴력이 드러난 사건이었다.

그보다 조금 전인 2019년에는 갠드크랩(GandCrab)이라는 랜섬웨어 조직이 MSP 업체를 감염시키는 데 성공하기도 했었다. 이 MSP 업체도 수많은 고객사를 두고 있었고, 이 고객사들을 관리하기 위해 커넥트와이즈 솔루션을 쓰고 있었다. 갠드크랩은 바로 이 솔루션을 통해 랜섬웨어를 80개 넘는 고객 엔드포인트로 배포하는 데 성공했다.

작년에는 블랙헌트(Black Hunt)라는 랜섬웨어 조직이 파라과이에서 첫 손에 꼽히는 MSP인 티고비즈니스(Tigo Business)를 침해함으로써 300개 넘는 고객사에까지 랜섬웨어를 전달할 수 있었다. 블랙헌트는 단순히 랜섬웨어만 전파한 게 아니라 고객사들의 서비스까지 마비시켰다. 역시 단 하나의 업체만 공략했을 뿐인데 300개 넘는 보너스가 생긴 경우라 할 수 있다.

Related Materials

• CISA warns of N-able N-central flaws exploited in zero-day attacks — 두 가지 주요 취약점(CVE-2025-8875, CVE-2025-8876), 인증 필요 Exploitation, 온프레미스 환경서 실제 공격 사례, 패치 권고 및 영향 해설 - BleepingComputer, 2025년
• Vulnerabilities in MSP-friendly RMM solution exploited in the wild (CVE-2025-8875, CVE-2025-8876) — MSP 환경에서 악용 중인 두 취약점 개요, 영향·대응 패치·사례 상세 - Help Net Security, 2025년
• CISA Alerts on N-able N-Central Deserialization and Injection Flaw — 취약점 상세(CVE-2025-8875/8876), 공격메커니즘 및 CISA KEV 등재, MSP 인프라에서의 리스크 분석 - GBHackers, 2025년
• CISA Warns of Attacks Exploiting N-able Vulnerabilities — CISA 공식 경고발령 및 패치 기한 안내, MSP 환경 내 취약점 대응 및 영향 분석 - SecurityWeek, 2025년

CISA, 2년 전 패치된 페이퍼컷 취약점 관련 새 권고문 발표

💡Editor’s Pick - 페이퍼컷, 2년 전 고위험군 취약점 패치 - 최근 이 취약점 익스플로잇 하는 공격 등장 - CISA가 KEV에 등재 미국 사이버 보안 전담 기관인 CISA가 새로운 취약점에 대한 보안 권고문을 발표했다. 새로 발견된 취약점은 아니다. CVE-2023-2533으로, 이미 2년 전에 패치된 바 있는 것인데, 최근 해커들이 활발히 익스플로잇 하기

The Tech Edge문가용 기자

MS와 CISA, 새로운 익스체인지 서버 취약점 관련 경고 발표

💡Editor’s Pick - 공격자들이 항상 좋아하는 단골 공격 표적, 익스체인지 서버 - 온프레미스 공략하면 클라우드 서버로도 진입 가능 - 관리자 권한 먼저 취득해야 공격 가능...하지만 공격자들에겐 별 거 아냐 마이크로소프트(MS)와 미국 사이버 보안 전담 기관인 CISA가 온프레미스 익스체인지 서버와 관련된 새로운 보안 경고문을 발표했다. 아직까지 실제 익스플로잇

The Tech Edge문가용 기자

미국 CISA, 주초부터 취약점 4개를 긴급 패치 목록에 추가

💡Editor’s Pick - 긴급 패치 필요한 취약점 4개 공개 - 2014년에 발견된, 오래된 취약점 포함 - 실제 사례는 미공개 미국 연방 사이버 보안 전담 기관인 CISA가 월요일부터 네 개의 취약점을 KEV에 추가했다. KEV는 실제 해킹 공격에 노출되어 있는 취약점들을 따로 모아둔 목록으로, 패치 우선순위를 설정할 때 가장 먼저 참고해야 할

The Tech Edge문가용 기자