파일 공유 시스템과 백신의 만남, 공격의 새로운 통로

파일 공유 소프트웨어이자 원격 지원 도구인 트리오폭스(Triofox)에서 발견된 취약점이 현재 실제 공격에 악용되고 있다고 구글 맨디언트(Mandiant)가 발표했다. 문제의 취약점은 CVE-2025-12480으로, CVSS 기준 9.1점을 받았을 정도로 심각하다. 익스플로잇에 성공한 자는 인증 단계를 우회해 설정 페이지에 접근할 수 있게 되며, 이를 통해 임의 페이로드를 업로드 해 실행시킬 수 있게 된다.

트리오폭스의 개발사인 글래디넷(Gladinet)은 취약점을 인지한 후 16.7.10368.56560 버전으로 업데이트 했다. 따라서 트리오폭스 사용자라면 이 버전으로의 변경을 통해 위험에서 벗어날 수 있다. 하지만 많은 경우 그렇듯, 아직 적잖은 사용자들이 패치를 적용하지 않고 있다. 실제 글래디넷이 패치를 발표하고서 한 달 뒤인 8월 24일경부터 CVE-2025-12480에 대한 익스플로잇 시도가 크게 늘어났다고 맨디언트는 설명한다. 참고로 트리오폭스에서는 CVE-2025-30406과 CVE-2025-11371과 같은 취약점이 실제 익스플로잇 공격에 악용된 적이 있다. 전부 올해 일어났던 일이다.

공격, 어떻게 진행되고 있는가?

맨디언트가 이번에 발표한 바에 의하면 공격자는 다음과 같은 순서로 공격을 진행한다고 한다.
1) CVE-2025-12480을 익스플로잇 해서 설정 페이지에 인증 없이 접근한다.
2) 셋업을 시작한다
3) 새로운 네이티브 관리자 계정을 생성한다. 이름은 클러스터어드민(Cluster Admin)이다.
4) 이어지는 공격은 이 클러스터어드민 계정을 활용하여 진행한다.

여기서 4)번의 ‘이어지는 공격’은 주로 ‘원격 코드 실행 공격’이었다. 이를 위해서 공격자는 하나의 ‘트릭’을 더 실행하는데, 트리오폭스의 백신 기능과 관련이 있다. 이게 바로 이번 취약점 익스플로잇 행위의 핵심이기도 하다. 맨디언트는 “공격자가 코드 실행 공격을 하기 위해 클러스터어드민 계정으로 로그인 한 뒤, 내장된 백신 기능을 통해 악성 파일을 업로드 하고 실행시켰다”고 설명한다.

여기서 말하는 ‘내장된 백신 기능’이란 트리오폭스가 실시하는 파일 검사 기능을 의미한다. 트리오폭스는 파일 공유 플랫폼이기 때문에, 전송하는 파일을 검사하는 기능을 기본적으로 가지고 있다. 다만 ‘백신 엔진’을 탑재하고 있지는 않다. 사용자의 컴퓨터에 설치돼 있는 백신 기능을 호출해 활용한다. 타 백신 엔진을 호출할 수 있다는 게 공격 성립의 중요한 근거가 된다. 

백신을 악용한다?

“트리오폭스를 처음 설치할 때 사용자는 트리오폭스와 타 백신을 연동시키기 위해 자신이 가지고 있는 백신 엔진의 경로를 지정하는 게 보통입니다. 이 때 지정된 파일은 트리오폭스 부모 프로세스의 계정 권한을 가져가게 되며, 시스템(SYSTEM) 계정 컨텍스트로 실행됩니다. 즉, 매우 높은 권한을 가져가게 된다는 의미입니다.” 맨디언트의 설명이다.

그럼 이러한 사실을 공격에 어떻게 응용하는 것일까? 트라이폭스가 ‘백신의 위치’로 알고 있는 파일 경로를 바꿔서 공격자의 악성 스크립트를 가리키도록 한다. 그러면 트라이폭스가 파일 검사를 위해 백신을 호출할 때 악성 스크립트가 높은 권한으로 실행된다. 스크립트가 어떤 기능을 가지도록 만들어졌느냐에 따라 여러 가지 공격을 이어갈 수 있게 된다. “추가 멀웨어를 설치할 수도 있고, 백도어를 심을 수도 있고, C&C 통신망을 구성할 수도 있습니다. 트리오폭스가 높은 권한으로 실행시켜 주니까, 뭐든 할 수 있습니다.”

기존 파일 업로드 공격과 뭐가 다른가?

이러한 공격 기법은 기존 ‘임의 파일 업로드’를 떠올리게 한다. 하지만 기존의 파일 업로드 공격은 업로드 된 파일을 웹 서버가 다른 클라이언트에 전송함으로써 공격이 시작되는 경우가 대부분이다. 이번 공격처럼 설정파일을 조작해 특정 프로그램이 높은 권한으로 또 다른 프로그램을 실행시키게 하는 과정에 개입해 악성 파일이 시작되게 하는 것과 다르다. 

단순 파일 업로드 공격은 빌딩 입구에 의심스러운 상자를 놓아두고, 누군가 그것을 가지고 들어가 열어보기를 기다리는 것과 같다. 여기에 속는 사람이 있어야 피해가 발생한다. 이번 트리오폭스 백신 기능 익스플로잇은 빌딩 관리자인 척 경비에게 ‘이 키로 문을 여시오’라는 쪽지를 줘서 문을 열게 함으로써 즉시 내부로 들어가 빌딩을 장악할 수 있는 것과 같다. 

이 때문에 트리오폭스 사용자들이라면 즉시 버전 확인을 통해 최신화를 하는 게 중요하다. 또한 트리오폭스 설정 창을 열어 백신 경로가 제대로 지정돼 있다는 것 역시 확인해야 한다. 트리오폭스가 그 동안 업로드/다운로드 한 파일 목록을 조사해 수상한 것이 없는지 검사하고, 최근 시스템 권한으로 생성된 프로세스에 어떤 것들이 있었는지도 점검해야 한다. 

파일 공유 시스템 공략은 클롭이 전문인데

파일 공유 시스템의 취약점을 누군가 익스플로잇 했다고 하면 자동으로 떠오르는 게 클롭(Cl0p) 랜섬웨어다. 클롭은 그 동안 고애니웨어(GoAnywhere), 무브잇(MOVEit), 클레오(Cleo) 등 기업 환경에서 널리 사용되는 파일 전송 프로그램을 적극 공략해 왔었다. 그러면서 랜섬웨어를 사용하지도 않은 채 랜섬웨어 공격을 성공시킨 것보다 더한 효과를 가져갔었다. 

하지만 트리오폭스 사건의 경우 아직까지 클롭과의 관계성이 분명히 드러나지는 않고 있다. 맨디언트가 발표한 보고서의 경우 배후 세력으로 UNC6485를 지목하고 있을 뿐 클롭에 대한 언급은 전혀 없다. 아직까지 클롭을 의심할 이유는 없어 보이나, 그 동안 클롭의 전적이 있기 때문에 이미 보안 전문가들 중 일부는 ‘혹시 클롭 아니냐’는 질문을 던지고 있기도 하다.

by 문가용 기자(anotherphase@thetechedge.ai)

Related Materials

• CISA Warns of Active Exploitation of Gladinet CentreStack and Triofox Vulnerabilities, CyberPress, 2024년
• CISA Warns of Gladinet CentreStack and Triofox Files Vulnerability Exploited in Attacks, TeamWin, 2024년
• TPRM Insights on F5 BIG-IP and Triofox Exploited Vulnerabilities, Black Kite, 2024년
• Gladinet/Triofox Flaw CVE-2025-11371 Allows RCE via LFI, SecurityOnline, 2024년

하버드대학, 클롭에 당했나? 오라클 EBS가 문제였나?

💡Editor’s Pick - 하버드대학의 정보 확보했다 주장하는 클롭 - 곧 정보 열람 가능한 링크 공개할 것이라고 예고 - 어쩌면 오라클 EBS와 관련된 사건일 수도 악명 높은 해킹 그룹 클롭(Cl0p)이 미국의 하버드대학교를 해킹했다고 주장했다. 그러면서 자신들의 다크웹 사이트에 하버드대학 전용 페이지를 따로 신설했다. 클롭은 조만간 해당 페이지를 통해 자신들이

The Tech Edge문가용 기자

오라클 자산 관리 솔루션 노리는 캠페인 성행, 혹시 클롭?

💡Editor’s Pick - 대기업 자산 관리 솔루션 노리는 공격 - 데이터 훔쳤다는 협박 메일로부터 공격 시작 - 배후에 클롭 랜섬웨어 있을 가능성 높아 보여 구글의 보안 자회사 맨디언트(Mandiant)가 최근 새로운 악성 캠페인을 발견해 세상에 공개했다. 배후 세력으로 가장 유력한 건 악명 높은 랜섬웨어 단체인 클롭(Cl0p)이라고 한다.

The Tech Edge문가용 기자