인기 높은 윙FTP의 취약점, 실제 익스플로잇 활발
- 사용자 제법 많은 윙FTP의 정보 노출 취약점, CISA가 주목
- UID 쿠키 길이를 제한하지 않아서 발생하는 문제
- 7.4.4 버전으로 업데이트 하면 여러 문제 해결
세계적으로 널리 사용되는 FTP 솔루션인 윙FTP(Wing FTP)에서 중요한 취약점이 발견됐다. 미국의 사이버 보안 전담 기관인 CISA는 이 취약점을 ‘긴급 패치 요망 목록’인 KEV에 추가하기까지 했다. CVSS 점수는 낮은 편이나, 해킹 공격자들이 현재 활발히 익스플로잇 하고 있어 문제가 커질 수 있다는 게 CISA의 설명이다.
문제의 취약점은 CVE-2025-47813이다. CVSS 점수는 4.3으로, ‘중위험군’으로 분류된다. 특정 조건이 성립될 경우 애플리케이션 설치 경로를 유출시킨다. 이 설치 경로에 민감한 정보가 포함될 수 있다는 게 문제다. CISA가 발표한 경고문에 의하면 “UID 쿠키에 긴 값을 사용할 경우 민감 정보가 포함된 오류 메시지가 생성된다”고 한다.
UID 쿠키란 웹 애플리케이션에서 사용자 ID나 세션 식별자 등 ‘사용자를 식별하는 정보’를 저장하는 쿠키 이름 중 하나다. ‘쿠키’라는 건 브라우저에 저장되는 소량의 데이터인데, 서버와 브라우저가 이 데이터를 통해 ‘어떤 사용자가 접속 중인가’, ‘로그인 상태인가’ 등을 확인한다. UID는 그런 쿠키들 중 한 종류인데, 사용자 고유 ID 혹은 그 사용자에게 할당된 고유 세션 ID를 다루는 데 특화된 것이라 볼 수 있다. 보통 서버 프로그램 개발자가 UID 길이를 제한하는데, 윙FTP의 경우 그 과정이 빠져 있다. 그게 CVE-2025-47813이다.
취약점은 7.4.3까지 이르는 모든 하위 버전들에서 발견된다. 7.4.4 버전부터는 존재하지 않는다. 7.4.4 버전은 2025년 5월에 출시됐으나, 아직 사용자들 중 구버전을 유지하는 사람들이 적잖이 존재하는 것으로 알려져 있다. 취약점을 발견해 윙FTP 개발사 측에 제보한 건 보안 기업 RCE시큐리티(RCE Security)의 연구원 줄리엔 아렌스(Julien Ahrens)라고 CISA는 밝혔다.
또 다른 취약점
하나 알아둬야 할 건 이 7.4.4 버전을 통해 매우 심각한 취약점 하나가 같이 수정됐다는 것이다. CVE-2025-47812로, CVSS 기준 10점 만점을 기록한 초고위험도 취약점이다. KEV 등재는 아직이지만, 현재 해커들이 실제 익스플로잇 공격을 수행하고 있는 것으로 알려져 있다. 때문에 윙FTP 7.4.4 이상 버전으로의 업그레이드가 더더욱 필수가 된다.
이 취약점은 다른 10점 만점 취약점들이 다 그렇듯 최악의 조건을 모두 갖추고 있다.
1) 원격 공격이 가능하다
2) 익스플로잇 난이도가 낮다
3) 인증 과정을 거치지 않아도 된다
4) 특정 피해자 행동을 유도하지 않아도 된다
5) 애플리케이션 취약점을 익스플로잇 한 것만으로 OS를 장악할 수 있게 한다
CVE-2025-47812에 대해 공개한 보안 기업 헌트레스(Huntress)는 “공격자가 악성 루아(Lua) 파일을 서버에 전송하기만 하면 된다”고 설명했다. “그 후 공격자는 원격 모니터링 및 관리(RMM) 소프트웨어 등을 설치해 피해자를 염탐하거나 특정 정보를 빼돌릴 수 있게 됩니다.”
공격자들, 어떤 피해 일으키나
KEV에까지 이름을 올렸으면서도 CVE-2025-47813과 관련된 실제 피해 사례는 아직 알려진 게 없다. 참고로 KEV에 등재됐다는 건 ‘실제 익스플로잇 시도가 있다’는 의미이지, ‘실제 피해가 있다’까지는 아니다. 그 익스플로잇이 실패로 끝났다면 피해가 없는 것이지만, 공격자들이 반복해 익스플로잇을 시도하면 언젠가 뚫리기 때문에 미리 경고가 나오는 편이다.
대신 개념증명용 익스플로잇 코드가 공개되긴 했다. 이런 코드는 보안 담당자들이 취약점을 보다 깊이 이해하여 방어 대책을 수립하는 데 도움을 주기도 하지만, 해커들이 공격용 도구를 만들어내는 데에도 도움이 된다. 그래서 대책이나 패치가 나오지 않은 상황에서 개념증명용 코드가 먼저 공개되는 것을 보안 업계는 경계하며, 그런 때 CISA 같은 국가 기관에서 경고가 발령되기도 한다.
CVE-2025-47812의 경우는 다르다. 이 취약점을 통해 실제 피해가 발생한 사례가 이미 보고된 바 있다. 헌트레스에 따르면 공격자들은 “윙FTP 서버를 스캔하여 해당 취약점을 찾아낸 후, 악성 루아 파일을 삽입했다”고 한다. “그리고 cmd.exe와 certutil 등 합법적 윈도 도구들을 악용해 멀웨어를 다운로드 및 설치했습니다. 이러한 류의 공격이 여러 IP에서 동시다발적으로 발견됐습니다.”
헷갈리는 독자들을 위한 정리
두 개의 ‘이름 비슷한’ 취약점을 간략히 정리하자면 다음과 같다.
1) CVE-2025-47812 : 악성 루아 코드 삽입 통해 발동되는 원격 코드 실행 취약점으로 CVSS 기준 10점 만점이나 KEV에는 미등재. 실제 피해 사례 있음. 즉 실제 익스플로잇 있었음.
2) CVE-2025-47813 : UID 쿠키 길이를 설정하지 않아 생기는 정보 노출 취약점으로 CVSS 기준 4.3점이나 KEV에 등재. 실제 피해 사례 없으나 익스플로잇 시도 있음.
이 간단 정리 내용만 보면 ‘실제 피해 사례가 있다는 건 실제 익스플로잇이 이뤄지고 있다는 뜻 아닌가? 그렇다면 CVE-2025-47812야말로 KEV에 등재돼야 하는 거 아닌가?’라는 의문이 생길 수 있다.
KEV에 등재되는 취약점은 ‘실제 익스플로잇이 발견되고 있는 취약점’이다. 이건 기본 전제다. 하지만 이것만이 KEV 등재 조건이 되는 건 아니다. ‘공격 체인을 무력화하기 위해 가장 먼저 틀어막아야 할 것’도 중요한 고려 사항이다. CVE-2025-47813은 해커들이 공격 체인을 기획 및 실행하기 전 단계서 피해자와 관련된 정보를 수집하게 해 주는 취약점이다. 공격 체인의 가장 앞에 위치한다. 패치로 막으면 그 뒤에 따라올 각종 ‘후속타’들이 성립되지 않거나, 더 많은 노력을 요하게 된다. 방어자 입장에서 효율이 높은 취약점인 것이다.
CISA는 KEV 목록을 정할 때 ‘공격 체인을 가장 효과적으로 막을 수 있는 방법’을 고민하는 것으로 알려져 있다. 그래서 첫 정찰 단계에 있는 취약점들이 선호된다. 그렇다고 CVE-2025-47812처럼 실제 피해를 유발하는 데 활용되는 취약점들이 간과되는 건 아니다. 다만 이런 취약점들의 경우 ‘최악의 상황에서 어떤 일까지 벌어질 수 있는가’까지 분석되어야 하므로 평가 시간이 길어진다. KEV에 등재되더라도 한참 후의 일이 된다. 즉 ‘아직까지’ 등재가 안 됐을 뿐, 앞으로 추가 등재될 가능성은 아직 열려 있다는 의미다.
하지만 CISA의 기준이 어떻든, 윙FTP 사용자가 할 일은 딱 하나다. 바로 7.4.4 및 그 이후 버전으로 최신화 하는 것이다. 그것만 하면 KEV에 등재된 취약점과 그렇지 않은 취약점 모두 고민할 것 없이 해결된다.🆃🆃🅔
by 문가용 기자(anotherphase@thetechedge.ai)
Related Materials
- Wing FTP Server v7.1.8에서 OpenSSL 라이브러리를 업데이트하며 CVE-2023-0286, CVE-2023-0215 등 OpenSSL 관련 취약점을 패치하고, 웹 클라이언트 CSRF·DOM XSS 취약성 수정 이력을 공개한 Wing FTP Server History 페이지 - Wing FTP 공식 사이트 , 2023년[1]
- Wing FTP Server 7.4.4 및 이전 버전에 영향을 주는 CVE-2025-47812 취약점에 대해, 보안 업데이트를 통해 취약점이 해결(resolved vulnerabilities)되었음을 알리고 최신 버전으로의 업데이트를 권고하는 「Wing FTP Server Security Update Advisory」 - AhnLab ASEC , 2025년(취약점 수정·패치 공지로 활용 가능)[2]
- NULL 바이트 처리 취약점으로 인한 Wing FTP Server 원격 코드 실행 취약점 CVE-2025-47812가 7.4.4 이전 버전에 존재하며, 7.4.4 이상 업데이트를 통해 패치되었음을 설명하고, 패치 적용 시 서비스 재시작·다운타임 영향까지 분석한 「CVE-2025-47812: Wing FTP RCE Vulnerability」 - Fidelis Security , 2025년(패치 버전 및 영향 범위 상세 기술)[3]
- CVE-2025-47812 원격 코드 실행 취약점이 공개 직후 공격에 악용되었으나, Wing FTP Server 7.4.4 버전에서 취약점이 패치되었고, 모든 7.4.4 이전 버전이 영향받는다는 점과 PoC 공개 이후 패치 적용 필요성을 분석한 「Wing FTP Server flaw actively exploited shortly after technical details were made public」 - Security Affairs , 2025년(악용 사례와 함께 패치 현황을 정리한 분석 기사)[4]
문가용 기자
![[TE머묾] 보안은 즐겁다 3](https://images.unsplash.com/photo-1530870110042-98b2cb110834?crop=entropy&cs=tinysrgb&fit=max&fm=jpg&ixid=M3wxMTc3M3wwfDF8c2VhcmNofDJ8fHN1cmZpbmd8ZW58MHx8fHwxNzczNjY3MzgyfDA&ixlib=rb-4.1.0&q=80&w=600)
