윈라 유틸리티 제로데이 취약점, 벌써 두 개 조직이 노려

사이버 공격자들이 인기 파일 압축 유틸리티인 윈라(WinRAR)에서 제로데이 취약점을 발견해 익스플로잇 하고 있다고 보안 업체 이셋(ESET)이 경고했다. 문제의 취약점은 CVE-2025-8088로, 임의의 공격자가 경로 조작을 할 수 있도록 해 준다. 공격자는 이를 통해 미리 조작한 파일을 심어 다채로운 공격을 실시할 수 있게 된다. 

이를 미리 발견해 공격적으로 활용했던 해킹 그룹은 롬콤(RomCom)이다. 롬콤은 스톰0978(Storm-0978), 트로피칼스코피우스(Tropical Scorpius), UNC2596 등의 이름으로도 불리는 러시아 조직으로, 금전적 목적을 가지고 기업들을 공략하기도 하고, 정보 수집을 위한 사이버 스파이 행위도 수행한다. 이전에도 여러 제로데이 취약점들을 익스플로잇 한 바 있다.

CVE-2025-8088
이셋이 발표한 보고서에 의하면 CVE-2025-8088이 처음 발견된 건 지난 7월 18일의 일이라고 한다. msedge.dll이라는 악성 DLL이 포함된 RAR 압축파일을 분석했을 때 나온 결과다. 당시 최신 버전이었던 7.12에도 존재하는 취약점이었다. “저희는 처음 보는 취약점이었는데, 공격자들은 이미 이를 통해 경로 조작 공격을 실시하고 있었습니다.”

이셋 측에서는 분석과 추적을 통해 취약점에 대한 상세 내용을 알아냈고, 이를 윈라 개발사 측에 알렸다. 24일의 일이었다. 그러자 개발사는 같은 날 취약점을 고쳐 7.13베타 버전을 출시했다. 그리고 약 1주일 뒤인 30일, 정식 7.13 버전이 발표됐다. 윈라 사용자라면 이 7.13 버전을 설치해야 안전하다고 개발사와 이셋은 권고하고 있다. 참고로 6월 19일, 윈라에서 비슷한 취약점인 CVE-2025-6218이 발견되기도 했다.

롬콤은 이 취약점을 어떤 식으로 익스플로잇 했을까? “악성 요소를 집어넣은 압축파일을 만들어 무해해 보이도록 꾸몄습니다. 저희가 발견한 샘플의 이름은 Eli_Rosenfeld_CV2-Copy(10).rar이었습니다. 마치 누군가의 이력서를 여러 번 복사한 것 같은 이름이죠. 인사팀에서 이 파일을 받아 아무 생각 없이 압축을 해제하면 악성 DLL 파일이 피해자 시스템의 Temp 폴더에 추출됩니다. 동시에 악성 바로가기 파일(.lnk)이 윈도 시작프로그램 폴더에 배치되기도 합니다. 그래서 사용자가 윈도에 로그인 할 때마다 악성 DLL 파일이 자동으로 실행됩니다.”

거기서 끝나는 게 아니었다. 롬콤은 부모 폴더에서부터 ‘..\\’라는 경로를 늘려나가면서 여러 ADS를 추가했다. ADS는 ‘대체 데이터 스트림(alternative data stream)’의 약자로, 파일을 열 때 화면에 제일 먼저 나타나는 주 콘텐츠 외 다른 정보를 담는 방법 중 하나다. NTFS 파일 시스템에만 있는 것으로, 추가 데이터가 파일 속성 안에 저장되는 방식이다. 따라서 일반적인 파일 탐색기로는 이 데이터를 볼 수 없다. 예전부터 여러 공격자들이 이 ADS에 악성 코드를 숨기는 식의 전술을 활용해 왔었다. 이번 제로데이 공격에서 롬콤이 여러 개의 ADS를 사용한 것도 비슷한 맥락에서 이해할 수 있다. “공격 성공률을 높이기 위해 악성 DLL과 LNK 파일도 사용하고, ADS도 같이 사용한 것으로 보입니다.”

문제는 ADS가 포함된 추가 경로들이 누가 봐도 수상해 보인다는 것이다. 즉 공격 성공률을 높이기 위해 취한 전략이 오히려 공격을 조기에 탐지할 수 있는 빌미를 제공한다는 것. “그래서 롬콤은 ADS가 포함된 경로에 더미 데이터를 넣어 화면이 꽉 차게 만들었습니다. 윈라 인터페이스 상에서는 이 더미 데이터 때문에 사용자가 아래로 한참 스크롤을 해야만 수상한 경로들이 드러납니다.”

어떤 피해 있었나
롬콤의 ‘무해해 보이는 악성 압축파일’은 7월 18일부터 21일까지 유럽과 캐나다의 금융, 제조, 방위, 물류 회사들 사이에서 확산됐다고 이셋은 밝혔다. 주로 스피어피싱 메일 형태로 퍼졌는데, 대부분 “취업을 원한다”는 식의 내용을 담고 있었다. 악성 파일 이름만 보면 이력서처럼 보이는 것도 그러한 이유에서다. “하지만 공격자 입장에서는 매우 안타깝게도, 여기에 속은 곳은 없어 보입니다. 실제 피해는 발생하지 않았습니다.”

만약 누군가 속았다면 어떤 일이 벌어졌을까? 이셋이 공격 체인을 거슬러 올라갔을 때 공격자들의 C&C 서버와 연결되는 셸코드가 실행된다는 걸 알아낼 수 있었다고 한다. “실행되는 셸코드는 미식(Mythic), 스닙봇(SnipBot), 멜팅클로(MeltingClaw) 중 하나였습니다. 각 셸코드마다 연결되는 C&C 서버의 주소가 달랐습니다. 또한 해당 서버에는 도메인 주소들이 하드코딩 되어 있었는데, 이 주소와 피해자의 주소가 일치하지 않으면 셸코드가 실행되지 않았습니다. 공격자가 표적 공격을 시도한 것으로 추정됩니다. 피해자가 현재까지 없는 건 의도된 표적들이 걸려들지 않아서일 수도 있습니다.”

이 세 가지 셸코드가 실행됐다면 공격자의 C&C로부터 추가 페이로드가 다운로드 되고, 결국 피해자 시스템에 대한 장악이 이뤄졌을 거라고 이셋은 설명한다. 그 후 공격자가 하려던 것이 무엇이었는지는 정확히 알 수 없다. 다양한 산업군에 퍼진 것으로 보아 정보 탈취가 주 목적이었을 확률이 높아 보인다. 그러기 위해 백도어를 준비하고 있지 않았을까 추정할 수 있다.

롬콤은 지난 6월에도 유럽의 방위 및 정부 기관을 노리고 스피어피싱 캠페인을 수행한 바 있다. 당시에는 워드 문서가 첨부돼 있었는데, 이 문서는 CVE-2023-36884라는 취약점을 익스플로잇 하도록 조작돼 있었다. 좀 더 전인 2024년 10월에는 파이어폭스 브라우저에서 발견된 제로데이 취약점을 익스플로잇 하기도 했었다. 당시 문제가 됐던 취약점은 CVE-2024-9680이었으며, 롬콤이 사용하는 백도어가 피해자 컴퓨터들에 심겼었다.

롬콤 말고도 더 있었다
러시아 보안 업체 바이존(BI.ZONE)에 의하면 롬콤 말고 또 다른 해킹 조직이 CVE-2025-8088을 익스플로잇 하는 중이라고 한다. 바이존은 이 조직을 페이퍼웨어울프(Paper Werewolf)라고 부르지만, 다른 업체들 사이에서는 고피(Goffee)라는 이름이 사용되기도 한다. 페이퍼웨어울프의 경우 같은 취약점을 통해 러시아의 조직들을 공략하고 있다고 바이존은 경고했다. 피해 상황에 대해서는 상세히 밝혀진 바가 없다.

페이퍼웨어울프는 롬콤만 알고 있던 제로데이 취약점을 어떻게 인지하게 된 걸까? 여기에 대해서는 정확한 사실 관계가 밝혀지지 않았다. 하지만 제로데이 취약점은 다크웹 포럼이나 공격자들 사이에서 비싼 값에 거래되는 아이템이다. 외신인 더레코드에 따르면 CVE-2025-8088이 다크웹 포럼에서 8만 달러에 거래되기도 했다고 하는데, 이것도 정확히 확인된 사실은 아니라고 한다. 지금은 해당 판매글을 찾을 수 없는 상태다. 어떤 형태로든 둘(롬콤과 페이퍼웨어울프) 사이에 교류가 있었을 가능성이 높아 보이지만, 둘이 별도의 연구를 통해 같은 취약점을 알아냈을 가능성도 없지 않다. 페이퍼웨어울프가 어떤 나라에 근거지를 마련하고 있는지는 아직 아무도 모른다.

그래서?
윈라는 세계 곳곳에서 널리 사용되는 압축 유틸리티다. 사용자가 많다는 이유 하나만으로 해커들의 뜨거운 관심을 받는 프로그램 중 하나다. 그래서 제로데이 취약점이 곧잘 발견되곤 한다. 제로데이 취약점은 대부분 롬콤처럼 악명 높은 해커들이 먼저 사용하다가 시간이 흐르면서 보다 덜 유명한 아마추어 해커들 사이에서도 악용되기 시작한다. ‘유명 해커들이 우리 같은 작은 기업을 왜 노리겠어?’라는 생각으로 무대응하다가 큰코 다칠 수 있다는 의미다. 

윈라 개발사 측이 픽스 및 업데이트 개발과 배포에 서둘렀던 것도 이 때문이다. 사용자가 많고, 그래서 공격이 잦다는 걸 아는 것이다. 하지만 개발사만 부지런히 움직여서는 큰 효과가 없다. 유명 유틸리티 사용자들이라면 업데이트 소식에 예민해져야 할 필요가 있다고 보안 전문가들은 강조한다. 그게 불가능하다면 자동 업데이트 옵션을 켜두는 게 권장된다.

Related Materials

• Update WinRAR tools now: RomCom and others exploiting zero-day vulnerability - ESET Research, 2025년
• WinRAR zero-day exploited by RomCom hackers in targeted attacks - Help Net Security, 2025년
• Phishing attacks exploit WinRAR flaw CVE-2025-8088 to install RomCom malware - Security Affairs, 2025년
• New WinRAR Zero-Day Exploited by RomCom Hackers - Infosecurity Magazine, 2025년

인기 압축 유틸리티 세븐집서 디도스 취약점 나와

💡Editor’s Pick - 사용자에게 인기 있어, 공격자에게도 인기 있어 - 손상된 메모리의 인근 영역까지 손상시킬 수 있는 취약점 - 애플리케이션 간 충돌 일으켜 디도스 유발 파일 압축 유틸리티인 세븐집(7-zip)에서 중위험군 취약점이 발견됐다. 메모리에 손상을 줄 수 있는 취약점으로, 익스플로잇에 성공한 공격자는 RAR5 압축 파일을 통해 디도스 공격을 할

The Tech EdgeJustAnotherEditor

소닉월 방화벽에 제로데이 있나? 아키라 확산 중

💡Editor’s Pick - 소닉월 방화벽 통해 아키라 빠르게 퍼져 - 공격 속도와 규모 봤을 때 제로데이 의심 - 소닉월 측에서는 아직 공격 경로 파악 못해 소닉월(SonicWall) 방화벽을 겨냥한 익스플로잇 행위가 활발해지고 있다는 경고가 나왔다. 소닉월 측에서도 사용자들에게 7세대 방화벽 제품의 암호화 서비스인 SSL VPN을 비활성화 하라는 권고를 내보내고 있다.

The Tech EdgeJustAnotherEditor

크롬 업데이트 필수! 또 제로데이 나와

💡Editor’s Pick - 크롬 브라우저에서 발견된 제로데이 취약점 - 사용자 입력값 제대로 확인하지 않는 취약점 - 그 외 고위험군 취약점 5개 더 패치 구글 크롬에서 제로데이 취약점이 발견됐다. 공격자들이 먼저 발견해 이미 익스플로잇 하고 있다. 구글도 이를 파악하고 긴급 보안 권고문을 패치와 함께 발표했다. 크롬 사용자들이라면 최신 버전으로의 업데이트가 필요하다.

The Tech EdgeJustAnotherEditor