이반티 고객사, 또 다른 제로데이 취약점 악용 공격에 노출

네트워크 보안 솔루션 업체 이반티(Ivanti)가 최근 CVE-2026-6973이라는 새로운 제로데이 취약점을 악용한 공격이 확인됐다고 고객사들에게 경고했다. 이 취약점은 Ivanti Endpoint Manager Mobile(EPMM) 제품의 입력값 검증 오류로, 관리자 권한을 가진 인증 사용자가 원격 코드를 실행할 수 있게 한다.

이반티는 지난 5일(현지 시간) 보안 권고문을 통해 이 사실을 공개하며, 같은 제품에서 발견된 4개의 고위험 취약점(CVE-2026-5787, CVE-2026-5788, CVE-2026-6973, CVE-2026-7821)에 대한 패치도 동시에 배포했다고 밝혔다. 이반티 대변인은 "현재까지 CVE-2026-6973은 매우 제한적인Wild에서 악용된 것으로 파악되며, 관리자 권한이 필요하다는 특징이 있다"고 설명했다.

미국 사이버보안·인프라보안청(CISA)은 이반티의 경고 직후 이 취약점을 ‘알려진 악용 취약점’ 목록에 등재했다. 이반티는 나머지 4개 취약점에 대해서는 아직 Wild 악용 사례가 없다고 밝혔다. 이반티는 "이 취약점들은 최근 AI 기반 탐지 시스템, 고객사 협업, 책임 있는 공개를 통해 내부 검출 프로세스를 통해 발견됐다"며, 한Former 직원이 취약점을 보고했다고 덧붙였다.

과거 취약점 악용의 여파 지속

이번 제로데이 취약점은 지난 1월 초 악용되기 시작한 CVE-2026-1281과 CVE-2026-1340이라는 두 개의 심각한 제로데이 취약점과 연관된 것으로 추정된다. 당시 이 취약점들은 네덜란드 데이터 보호청과 사법위원회를 포함해 100여 명의 피해자를 발생시켰다.

이반티 대변인은 "CVE-2026-6973은 관리자 권한이 필요하기 때문에, 지난 1월 이반티가 EPMM 자격 증명을 교체하라는 권고를 따른 고객사는 상대적으로 위험이 낮다"며 "이전 취약점에 노출되지 않은 고객사도 위험이 크지 않다"고 설명했다. 그러나 이반티 제품의 취약점을 악용한 공격은 반복적으로 발생하고 있어 고객사들에게 지속적인 경계를 요구하고 있다.

전문가 분석: 관리자 권한 악용 가능성

VulnCheck의 보안 연구 책임자인 Caitlin Condon은 CVE-2026-6973이 관리자 권한을 요구한다는 점에서, 초기 접근을 위한 다른 공격 체인에 포함된 가능성을 시사한다고 분석했다. Condon은 "현재까지 CVE-2026-6973을 악용한 위협 행위자에 대한 정보는 없지만, CVE-2026-1281과 CVE-2026-1340은 중국과 이란 관련 그룹을 포함해 다양한 위협 행위자에 의해 악용됐다"고 밝혔다.

그녀는 "이전 두 취약점은 인증 없이 원격으로 악용 가능한 코드 삽입 취약점이었지만, CVE-2026-6973은 관리자 권한이 필요하다는 점에서 초기 우려보다는 상대적으로 위험도가 낮다"고 평가했다. 또한 "CVE-2026-1281과 CVE-2026-1340은 오늘 패치에 포함됐지만, 이보다 더 심각한 초기 위협이었던 만큼 주의가 필요하다"고 덧붙였다.

이반티 고객사, 지속적인 보안 위협에 대응

이반티는 이번 패치를 통해 모든 취약점을 조치했지만, 과거 취약점으로 인한 공격의 여파는 아직 남아 있는 상황이다. 특히 관리자 권한을 요구하는 취약점의 경우, 내부 시스템 접근이 가능한 공격자가 악용할 가능성이 높아 보안 관리의 중요성이 더욱 강조되고 있다.

보안 전문가들은 이반티 고객사들에게 신속한 패치 적용과 더불어, 관리자 권한 관리 강화, 다단계 인증(MFA) 도입 등을 권고하고 있다. 또한, CISA는 모든 연방 기관에 대해 이 취약점에 대한 패치를 즉시 적용할 것을 지시했다.