- KnowledgeDeliver LMS의 제로데이 취약점이 실제 공격에 악용되어 웹 셸(Godzilla)이 설치된 사례가 확인됨
- 공격자는 서버 권한을 탈취해 개인정보 유출, 내부 시스템 침투, 추가 악성코드 배포 등 다층적 위협을 실행
- 공식 보안 패치가 아직 제공되지 않아 운영 기관은 즉각적인 자체 점검과 임시 방어조치가 필요한 상황
사이버 위협은 언제든 현실이 될 수 있음을, 신속한 대응 체계와 프로세스의 중요성이 다시금 강조되었다.
사건 개요: KnowledgeDeliver LMS에서 발견된 제로데이 취약점
학습 관리 시스템(LMS) 시장에서 주요 솔루션으로 평가받는 KnowledgeDeliver에서 심각한 보안 침해 사건이 드러났다. 보안 연구팀은 KnowledgeDeliver LMS 서버에 존재하던 제로데이(미공개) 취약점이 이미 공격자에게 실전에서 악용되고 있음을 확인하였다. 이 취약점을 통해 해커들은 서버에 무단 접근해, 중국 해킹 그룹이 자주 사용하는 Godzilla 웹 셸을 설치하는 데 성공했다는 것이 확인됐다.
제로데이 취약점이란 개발자나 공급사에서 인지하기 전에 공격자에 의해 먼저 발견되어 실제 공격에 이용되는 보안 결함을 의미한다. 이번 KnowledgeDeliver 사례는 보호되지 않은 소프트웨어가 조직 내 중요한 정보자산까지 위협할 수 있음을 보여주는 대표적 사례다. 특히 공식 보안 패치가 제공되지 않아, 해당 플랫폼 운영 기관들은 직접적인 위협에 노출된 상태다.
침해 방식: Godzilla 웹 셸을 통한 서버 장악 메커니즘
공격에 사용된 Godzilla 웹 셸은 중국 사이버 범죄 조직 사이에서 널리 활용되는 악성 관리 도구다. FireEye와 Trend Micro의 보안 분석에 따르면, 이 웹 셸은 서버에 대한 광범위한 권한 탈취와 은닉 기능을 갖추고 있어 공격자가 감염된 서버 전체를 자유롭게 조작할 수 있다.
웹 셸은 웹 서버에 악성 스크립트 형태로 탑재되어, 공격자가 외부에서 명령을 내리고 실행할 수 있도록 한다. 특히 Godzilla는 파일 업로드·다운로드, 데이터베이스 조작, 시스템 관련 정보 수집, 네트워크 스캔, 추가 악성코드 배포 등 다양한 공격을 자동화할 수 있어 위협성이 높다. 감염된 서버는 내부 네트워크로의 측면 이동이 가능해지며, 이는 개인정보 유출, 랜섬웨어 유포, 중요 정보 변조 등 심각한 2차 피해로 이어질 수 있다.
LMS는 학생 정보, 과제 및 평가 관련 데이터, 내부 커뮤니케이션 로그 등 다수의 민감 정보를 저장하고 있다. 웹 셸이 설치된 LMS 서버는 정보 유출은 물론, 학사 행정 신뢰성까지 해칠 수 있어 조직 전체에 중대한 보안 리스크를 야기한다.
피해 범위와 확산 우려: LMS 도입 기관의 현황과 파급력
KnowledgeDeliver는 국내외 다양한 교육기관과 기업에서 폭넓게 사용되는 LMS 솔루션이다. 각종 학교, 대학, 기업 교육 부서에서 활용되기 때문에, 이번 침해 사건의 잠재적 피해 범위는 방대하다.
특히 가장 큰 우려는 해당 제로데이 취약점에 대한 패치가 아직 공개되지 않아 이미 무차별적 자동화 도구를 통해 취약한 시스템을 탐지하고 침투하는 사례가 적지 않다는 점이다. 시간이 흐를수록 공격 대상과 피해 범위가 더욱 확산될 수 있다는 경고도 있다.
교육기관에서는 학생 및 학부모 개인정보 유출, 학사정보 변조, 성적 조작 등 민감한 문제가 발생할 수 있고, 기업은 직원 교육 기록, 자격정보 및 업무 프로세스 등 주요 내부 데이터가 노출될 가능성이 있다.
대응 현황 및 보안 패치 상황
KnowledgeDeliver 측은 문제 확인 이후, 해당 제로데이 취약점에 대해 아직 공식적인 보안 패치나 업데이트를 제공하지 못하고 있는 것으로 전해진다. 이 때문에 LMS를 운영하는 기관들은 자동화된 차단 및 예방 시스템을 신속하게 구축하기 어려운 실정이다.
전문가들은 공식 패치가 배포되기 전까지 임시적으로 웹 방화벽(WAF) 보안 규칙 강화, 침입 탐지 시스템(IDS) 모니터링, 불필요한 외부 접속 차단, 기존 서버 취약점 재점검 등의 조치를 권하고 있다. 또한 서버 내 비정상 파일 탐지와 로그 모니터링이 필요하다.
피해 최소화를 위한 즉각적 조치 및 보안 인사이트
KnowledgeDeliver LMS를 운영하는 조직이 당장 취해야 할 조치는 다음과 같다.
첫째, 서버 로그를 면밀히 분석해 외부에서의 비정상 행동이나 웹 셸 실행 흔적을 점검하고, Godzilla와 같은 악성 파일이나 디렉터리가 숨겨져 있는지 파일 무결성 검사 도구로 스캔한다.
둘째, 네트워크 세분화(분리)를 통해 LMS 서버와 내부 시스템 간 접근 범위를 제한, 웹 셸을 통한 내부 확산 및 2차 피해를 구조적으로 차단해야 한다.
셋째, 공식 패치 제공 즉시 신속히 반영하고, 임시 대응 체계를 활용해 패치 전까지 가능한 모든 예방책을 실행한다. 더불어 이번 침해 사고를 계기로 소프트웨어 도입과 운영에 있어 취약점 관리와 주기적 점검, 위기 대응 프로세스의 정비가 반드시 필요하다.
이번 사건은 SaaS형 온라인 서비스가 제공하는 편리함 이면에, 공급업체의 신속한 보안 대응 역량이 조직 보안 체계에 얼마나 큰 영향을 미칠 수 있는지 분명히 보여준다. 업무 도구의 보안 의존성이 높아질수록 주기적 보안점검과 체계적인 위협 대응력이 요구된다.
- 제로데이 취약점 발견 시, 전체 시스템을 신속히 점검하고 즉각적인 임시 대응 절차가 필요함
- 공급업체의 패치 및 공지 여부를 수시로 확인하며, 네트워크 및 접근 제어 수준을 강화해야 함
- 지속적인 로그 분석과 파일 무결성 검사 등 사전 예방 및 사후 모니터링 체계를 상시 운영해야 함