Ivanti EPMM 또 다른 제로데이 취약점 발생: 조직 모바일 환경의 새로운 보안 경고음

작성자:
  • 원격 코드 실행 제로데이: Ivanti EPMM에서 패치 전 실제 공격에 악용된 치명적 취약점이 발견됨
  • 모바일 인프라 전체 위협: MDM 서버 침해 시 기업 전체 모바일 기기 및 중요 데이터 위험에 노출
  • 즉각적 패치 및 대응 필수: 최신 패치 적용과 네트워크 보호, 비정상 접속 점검 등 다각적 대책 필요

“즉각적 패치와 신속한 대응만이 조직의 모바일 환경을 보호할 수 있습니다.”

1. 사건 개요 및 배경

2024년 6월 27일, Ivanti는 Endpoint Manager Mobile(EPMM, 구 MobileIron Core) 제품군에서 치명적인 원격 코드 실행(Remote Code Execution) 취약점이 발견됐다고 공식 발표했습니다. 이 취약점은 패치 공개 전부터 실제 공격에 악용된 제로데이(Zero-Day)로 확인되어, 각 조직의 신속한 대처가 요구되고 있습니다.

Ivanti EPMM은 기업 환경에서 스마트폰, 태블릿 등 모바일 기기를 중앙에서 통합 관리하는 MDM(Mobile Device Management) 솔루션입니다. 전 세계 다양한 기업에서 직원 모바일 기기 정책 관리, 앱 배포, 보안 설정 등 핵심 업무에 널리 활용되고 있어, 이번 취약점의 여파는 결코 작지 않습니다.

특히 인증되지 않은 공격자가 MDM 서버에서 임의로 명령을 실행할 수 있다는 점이 커다란 위협으로 지목되었습니다. 만약 서버가 침해된다면, 해당 조직이 관리하는 모든 모바일 기기 역시 연쇄적으로 위태로워질 수 있습니다.

2. 기술적 분석

보안 전문가들은 해당 취약점이 Ivanti EPMM의 웹 인터페이스에서 입력값 검증이 미흡해 발생한 것으로 분석합니다. 공격자는 조작된 요청을 서버에 전송해 운영체제 명령을 실행할 수 있으며, 이를 통해 내부망으로 추가 침투하거나 데이터를 탈취할 우려가 제기됩니다.

이번 사고에서 실제 발견된 주요 공격 시나리오는 다음과 같습니다.

  • 초기 침투: 취약한 EPMM 서버에 원격 요청을 보내 명령 실행
  • 권한 상승: 서버 환경 내 높은 권한을 획득해 통제 범위 확장
  • 측면 이동: 내부 네트워크로 추가 침투 시도
  • 데이터 유출: MDM 데이터베이스 내 기기 정보, 인증 정보, 기업 데이터 접근 및 탈취

취약점은 인증 요구가 없고 네트워크를 통한 원격 공격이 가능해, 조직 보안에 매우 심각한 위협을 끼치고 있습니다. CVSS 점수 기준 또한 상당히 높을 것으로 예상됩니다.

3. 업계 반응 및 교차 검증

보안 업계와 전문 매체(BleepingComputer, KrebsOnSecurity, The Hacker News 등)는 이번 취약점을 신속히 조명하며, Ivanti의 반복되는 보안 이슈에 대한 우려의 목소리를 높이고 있습니다. 2024년 초에도 같은 시리즈의 제품군에서 치명적 취약점이 연이어 발견된 전례가 있어, 신뢰도 문제도 제기되고 있습니다.

아직 공식 CVE 번호는 미발표이지만, Ivanti와 보안 연구진은 조만간 공식 등재와 상세 분석 결과를 제공할 것을 예고했습니다. 관련 모니터링과 추가 공격 패턴에 대한 감시도 점점 강화되는 추세입니다.

4. 대응 방안

Ivanti는 고객들에게 최신 패치의 즉각적인 적용을 가장 우선적으로 권고하고 있습니다. 아직 패치 적용이 어려운 조직을 위해 다음과 같은 긴급 대응 체크리스트도 마련했습니다.

관리자 긴급 체크리스트

  • 패치 즉시 적용: Ivanti에서 제공하는 최신 보안 패치로 신속히 업그레이드
  • 외부 접속 제한: EPMM 관리 웹 인터페이스에 대한 외부 네트워크 접근을 반드시 통제
  • 접속 로그 감사: 최근 관리 페이지 접속 이력과 비정상 접근 시도 등 확인
  • 보안 정책 보강: 관리 대상 모바일 기기의 추가 보안 설정 강화
  • 침해 인지 체계 가동: 이상 활동이 발견될 경우 즉시 인시던트 대응 프로세스 가동

단기 대책으로는 웹방화벽(WAF) 규칙 적용과 침입방지시스템(IPS) 시그니처 최신화 등을 통해, 이미 알려진 공격 방식에 대해서는 적극적으로 방어할 수 있습니다.

5. 종합 인사이트

이번 Ivanti EPMM 제로데이 취약점은 모바일 기기 관리 솔루션(MDM) 자체가 기업 정보보안 체계에서 얼마나 중요한 자산인지를 새삼 상기시켜 줍니다. 조직 내 중요한 모바일 인프라를 총괄하는 MDM 서버가 공격에 노출될 경우, 수십~수백 대의 업무용 기기가 한번에 위험해질 수 있습니다.

따라서 다음과 같은 전략이 필요합니다.

  • MDM 소프트웨어의 정기적 업데이트 및 패치 프로세스 구축
  • 중요 서버에 대한 실시간 보안 모니터링 및 탐지 체계 마련
  • 신속한 취약점 대응을 위한 사전 점검과 훈련 강화
  • 네트워크 분리, 최소 권한 원칙 등 다중 방어 전략 수립 및 운영

보안은 단기간에 완성되지 않습니다. 언제든 발생할 수 있는 새로운 취약점에 대응할 수 있도록, 지속적이고 체계적인 노력만이 위기를 최소화할 수 있습니다. Ivanti EPMM을 사용하는 조직이라면 즉시 점검 및 조치에 착수하시길 권고합니다.

  • 패치 발표 전 실제 제로데이 공격 발생으로 접근 권한에 상관없이 직접적 위험 노출
  • MDM 서버 침해 시 기업 전반에 걸친 모바일 기기와 데이터 유출 피해로 이어질 수 있음
  • 패치 적용, 네트워크 접근 통제, 실시간 모니터링 등 다각적 대응으로 피해 최소화 필요

TAG : Ivanti EPMM, 제로데이, 모바일 기기 관리, MDM, 원격 코드 실행, 조직 보안, 보안 취약점, 보안 패치, 모바일보안

댓글 남기기