[2025년 3월] 웹 공격 동향 보고서 | MONITORAPP

Threat Intelligence Report

웹 애플리케이션 취약성, 공격, 대응 방안에 대한 최신 정보를 확인하세요.

Threat Intelligence Report 메인페이지로 돌아가기

[2025년 3월] 웹 공격 동향 보고서

 

 

 

 

 

 

 

 

주 단위 웹 공격 추이 분석

주 단위 웹 공격 추이 분석을 통해 특정 시점에 웹 공격이 집중적으로 발생한 시기를 확인할 수 있습니다. 이를 기반으로, 공격이 번번한 시기에 대비해 사전 예방 및 대응 전략을 수립하는 데 활용할 수 있습니다.

 

아래 그래프는 2025년 3월 한 달 동안 AIWAF에서 탐지된 웹 공격 건수를 주 단위로 시각화한 것입니다.

 

 

 

 

 

 

 

 

 

 

 

2025년 3월 한 달 동안 AIWAF에서 탐지된 데이터를 분석한 결과, 하루 평균 약 26만 건 이상의 웹 공격이 탐지되었습니다. 이는 전월 대비 증가 추세를 보이는 수치로, 웹 서버에 대한 위협이 지속적으로 고도화되고 있음을 보여줍니다. 또한 평일보다 주말(토·일)에 공격 빈도가 높게 나타났으며, 이는 업무 시간 이외의 동안 웹 서버 이용률이 낮아지는 것을 노린 전략적 접근으로 해석할 수 있습니다.

 

특히, 3월 15일에는 전체 기간 중 웹 공격이 가장 집중적으로 발생한 날로, 해당 일자에 탐지된 공격 유형 중 SQL Injection이 가장 높은 비중을 차지한 것으로 분석되었습니다. SQL Injection은 데이터베이스를 조작하여 시스템 권한을 탈취하거나, 내부 정보를 유출할 수 있는 대표적인 공격 방식입니다. 공격자는 주로 시스템의 사용자 인증 절차를 우회하거나, 데이터베이스 구조를 파악하려는 목적으로 이 기법을 사용하며, 이러한 특성 때문에 기업의 민감 정보 보호에 특히 주의가 필요합니다. 실제로 AIWAF에서도 SQL Injection은 가장 많은 탐지 패턴이 설정된 고위험 공격 유형으로 분류되어 있습니다. 이번 분석 결과는 SQL Injection을 포함한 주요 웹 공격 유형에 대한 지속적인 관심과 정밀한 대응 전략이 필요하다는 점을 보여주며, 향후 탐지 및 차단 정책 수립 시 중요한 근거자료가 될 것입니다.

 

 

공격 유형별 웹 공격 동향

탐지 로그를 기반으로 공격 유형별 웹 공격 동향을 분석하면, 한 달 동안 어떤 유형의 공격이 빈번하게 발생했는지를 체계적으로 파악할 수 있습니다. 이러한 분석은 단순한 통계에 그치지 않고, 조직의 보안 정책 수립 및 대응 체계를 구체화하는 데 있어 핵심적인 기준이 됩니다.

 

2025년 3월 한 달간 AIWAF에서 수집된 탐지 로그를 분석한 결과, 다양한 유형의 웹 공격이 탐지되었으며, 이 중 일부 유형은 특정 기간에 집중적으로 발생하거나 전체 공격 건수에서 높은 비중을 차지하는 등 뚜렷한 패턴을 보였습니다. 특히, SQL Injection, System File Access 등의 고전적이면서도 여전히 위협적인 공격 유형이 상위에 포진되어 있으며, 이들은 대부분 자동화된 공격 툴이나 봇넷을 통해 반복적으로 수행되는 경향이 있습니다.

 

아래 그래프는 2025년 3월을 기준으로 AIWAF에서 탐지된 웹 공격 유형별 분포를 시각화한 것입니다.

 

 

 

 

 

 

 

 

 

 

 

 

2025년 3월 한 달간 AIWAF에서 탐지된 웹 공격 유형별 통계에 따르면, SQL Injection이 전체 탐지 건수의 27.33%를 차지하며 가장 높은 비중을 기록했습니다. 그 뒤를 이어 System File Access(18.34%), Default Page(14.33%), App Weak(12.17%) 순으로 다수의 공격이 탐지되었습니다. 이는 특정 유형의 공격에 대해 보다 정밀한 대응과 사전 예방 조치가 필요합니다.

 

우선, SQL Injection은 OWASP Top 10에서 항상 상위권에 위치할 만큼 치명적이며, 공격 기법 또한 매우 다양하게 진화하고 있는 유형입니다. 이 공격은 일반적으로 사용자 입력을 통해 전달된 값이 SQL 쿼리에 그대로 포함되어 실행될 때 발생하며, 공격자는 이를 악용해 비정상적인 인증 우회, 데이터베이스 구조 열람, 민감한 데이터 탈취 등의 행위를 수행할 수 있습니다. 특히, 동적 쿼리를 사용하거나 입력 값에 대한 유효성 검증이 미흡한 경우 이러한 공격에 매우 취약합니다.

 

두 번째로 높은 비중을 차지한 System File Access(18.34%)는 공격자가 웹 애플리케이션의 취약점을 이용해 시스템 내부의 파일 및 디렉토리에 무단 접근하거나 임의의 파일을 조작하려는 시도를 의미합니다. 이러한 공격은 웹 서버 구성상의 문제, 불충분한 접근 제어, 디렉토리 경로 검증 실패 등으로 인해 발생할 수 있으며, 성공 시 시스템 권한 탈취나 백도어 설치 등으로 이어질 수 있습니다.

 

세 번째로 높은 비중을 차지한 Default Page (14.33%)는 설치 후 초기 설정이 유지된 페이지 혹은 시스템 메시지 페이지를 타겟으로 하는 유형입니다. 이들은 정보 수집 단계에서 시스템의 소프트웨어 종류 및 구성 상태를 파악할 수 있는 정보가 노출되어, 후속 공격에 사용될 수 있습니다. 이 공격 유형은 대체로 수동적이지만, 자동화된 스캐너를 통해 다량 탐색되는 경우가 많아 조기 탐지 및 대응이 중요합니다.

 

네 번째로 높은 비중을 차지한 App Weakness (12.17%)는 인증 미비, 세션 관리 취약성, 구성 오류 등 애플리케이션 자체의 보안 결함을 노리는 공격 유형입니다. 특히, 클라우드 기반 SaaS 시스템이나 API 기반 서비스에서 인증 우회 시도 및 API Abuse 형태로 탐지된 경우가 증가하고 있으며, 이는 향후 클라우드 보안 정책 수립에도 영향을 줄 수 있습니다.

 

 

최근 3개월 웹 공격 추이 그래프 요약

 

12월

 

 

 

 

 

 

 

 

 

 

 

1월

 

 

 

 

 

 

 

 

 

 

 

2월

 

 

 

 

 

 

 

 

 

 

 

 

공격자 IP Top 30

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

취약점 분석 보고서

Ivanti vTM Authentication Bypass

 

1. 개요

Ivanti vTM(Virtual Traffic Manager)은 소프트웨어 기반의 애플리케이션 전송 컨트롤러(ADC, Application Delivery Controller)로, 네트워크 상에서 애플리케이션 트래픽을 효율적으로 관리하고 최적화하는 역할을 수행합니다. 이 플랫폼은 주로 웹 애플리케이션의 성능 향상과 보안 강화를 위해 사용되며, 다양한 환경에서 유연하게 배포될 수 있는 장점이 있습니다.

 

작년 Ivanti vTM에서 심각한 보안 취약점이 발견되었는데, 이는 인증 우회를 가능하게 하는 CVE-2024-7593 취약점입니다. 본 문서에서는 해당 취약점의 개요와 동작 방식, 영향을 받을 수 있는 환경, 그리고 보안 대응 방안 등에 대해 종합적으로 분석한 내용을 정리하였습니다.

 

 

 

 

 

 

 

 

 

출처 : https://thehackernews.com/2024/10/ivanti-endpoint-manager-flaw-actively.html

 

2. 공격 유형

CVE-2024-7593은 Ivanti vTM에서 발견된 심각한 인증 우회 취약점으로, 내부 인증 알고리즘의 설계 결함을 악용하여 공격자가 웹 인터페이스의 모든 섹션에 무단으로 접근할 수 있도록 허용합니다. 이 취약점은 특히 wizard.cgi라는 엔드포인트에 대한 접근 제어를 우회함으로써, 관리자 권한을 가진 계정을 임의로 생성할 수 있는 점에서 그 위험성이 매우 큽니다.

 

공격자는 먼저 wizard.cgi 엔드포인트에 접근하기 위해, 해당 요청의 파라미터 중 하나인 error 값을 1로 설정합니다. 이 간단한 조작만으로 기존의 접근 제어 로직을 무력화할 수 있으며, 결과적으로 인증 없이도 관리자 설정 페이지에 접근이 가능해집니다.

 

이후 공격자는 section 파라미터를 활용하여 계정 생성과 관련된 특정 구성 섹션을 로드합니다. 그 다음 단계로, 요청의 Body에 조작된 데이터를 삽입함으로써 Ivanti vTM의 CSRF(Cross-Site Request Forgery) 방지 정책을 우회할 수 있으며, 최종적으로 새로운 관리자 권한 계정을 시스템에 추가하는 데 성공할 수 있습니다.

 

이 취약점은 인증 및 세션 관리 기능이 적절히 구현되지 않았음을 보여주는 대표적인 사례로, 시스템의 전반적인 보안 수준을 저하시킬 수 있는 위험한 취약점입니다. 이에 따라 Ivanti vTM을 사용하는 조직은 본 취약점에 대한 보안 패치 적용 여부를 즉시 확인하고, 관련 보안 조치를 신속히 취할 필요가 있습니다.

 

접근 제어를 우회하여 관리자 계정을 생성하기 위한 공격 요청에는 특정 파라미터들이 포함되어 있으며,이들은 Ivanti vTM의 CSRF 방지 매커니즘을 우회하고 계정 생성을 유도하는데 사용됩니다.

 

 

 

 

 

 

  • _form_submitted=form: CSRF 방지 우회용 플래그
  • create_user=Create: 관리자 계정 생성 요청 표시

 

공격자는 앞서 설명한 바와 같이 wizard.cgi 엔드포인트에 접근한 뒤, 위와 같은 파라미터 값을 포함한 HTTP 요청을 전송함으로써 인증 절차를 우회하고, 새로운 관리자 권한 계정을 시스템에 생성할 수 있습니다.

 

3. 대응 방안

Ivanti는 CVE-2024-7593 취약점에 대한 심각성을 인지하고, 이에 대한 보안 패치를 공식적으로 발표하였습니다. 해당 취약점은 인증 우회를 통해 관리자 권한을 탈취할 수 있는 위험한 취약점인 만큼, Ivanti 측에서는 제품 사용자들에게 신속한 업데이트를 권고했습니다. 이를 위해 Ivanti는 제품 버전별로 취약점이 해결된 최소 패치 버전을 지정하였으며, Ivanti vTM을 운영 중인 조직은 아래 이미지에 표시된 내용과 같이 해당 버전 이상으로 반드시 업데이트를 수행해야 합니다.

 

보안 패치를 적용하지 않을 경우 공격자는 인증 없이 관리자 계정을 생성하고, 시스템을 완전히 제어할 수 있는 가능성이 존재하므로, 빠른 보안 업데이트가 무엇보다 중요합니다.

 

또한, 저희 AIWAF 제품 역시 본 취약점에 대한 대응을 강화하기 위해, 2025년 2월 패턴 업데이트를 통해 해당 공격을 탐지하고 차단할 수 있는 패턴 시그니처를 추가하였습니다. 구체적으로, 패턴 ID 2235: Ivanti vTM Authentication Bypass가 추가되었으며, 이를 통해 실시간으로 의심스러운 요청을 감지하고, 관리자 계정 생성 시도를 사전에 차단할 수 있도록 설계되었습니다.

 

따라서 Ivanti vTM 사용자들은 제품 자체의 보안 패치 적용과 함께 AIWAF와 같은 보안 솔루션을 병행하여 다계층적인 방어 체계를 갖추는 것이 매우 효과적인 대응 전략이 될 수 있습니다.

 

 

 

 

 

 

 

 

 

 

 

출처 : https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Virtual-Traffic-Manager-vTM-CVE-2024-7593

 

4. 결론

Ivanti vTM은 복잡한 네트워크 및 IT 인프라를 운영하는 대기업과 기관에서 주로 활용되고 있습니다. 이러한 특성으로 Ivanti vTM은 서비스 가용성, 보안성, 확장성 측면에서 핵심적인 역할을 수행하고 있으며, 시스템 전반에 미치는 영향력도 매우 큽니다.

 

CVE-2024-7593 인증 우회 취약점은 Ivanti vTM의 보안 구조를 근본적으로 위협할 수 있는 심각한 결함으로, CVSS(공통 취약점 점수 체계) 기준에서 9.8점이라는 매우 높은 점수를 부여받았습니다. 이는 해당 취약점이 거의 완전한 권한 탈취로 이어질 수 있음을 의미하며, 공격자가 인증 절차를 우회하여 관리자 권한을 확보할 수 있는 위험한 수준입니다.

 

이에 따라 미국 사이버안보 및 기반시설 보안국(CISA)은 본 취약점을 긴급 패치 대상 목록인 .KEV(Known Exploited Vulnerabilities)에 신속히 등록하였습니다. 이는 실제 악용 가능성이 매우 높은 취약점으로 판단되었음을 나타내며, 관련 시스템 관리자들에게 빠른 대응을 요구하는 중요한 사항입니다.

 

따라서 Ivanti vTM을 운영 중인 조직은 해당 취약점에 대한 보안 패치를 즉시 적용하고, WAF등의 보안 솔루션과 연계 방어 체계를 구축하여 잠재적인 보안 위협에 선제적으로 대응하는 것이 중요합니다.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

출처 : https://en.fofa.info/result?qbase64=YXBwPSJWaXJ0dWFsLVRyYWZmaWMtTWFuYWdlciI%3D

 

저희 AIWAF 제품은 Ivanti 제품군에서 발생하는 다양한 보안 취약점에 대해 신속하고 효과적으로 대응할 수 있도록, 전용 탐지 패턴을 지속적으로 개발 및 적용하고 있습니다.

 

AIWAF는 기존에 보고된 취약점뿐만 아니라, 새롭게 발견되는 취약점에 대해서도 위협의 특성과 공격 방식에 맞는 패턴 시그니처를 개발하여, 실시간 탐지 및 차단 기능을 제공합니다. 이러한 접근을 통해 AIWAF는 단순한 패턴 매칭 수준을 넘어, 공격의 행위 기반 분석을 수행하며 보다 지능적이고 능동적인 보안 대응 체계를 실현하고 있습니다.

 

앞으로도 저희는 Ivanti 제품군을 향한 보안 위협에 대해 신속하고 지속적인 대응을 제공할 예정이며, 최신 보안 트렌드와 위협 인텔리전스를 반영한 정기적인 패턴 업데이트를 통해 고객의 자산을 안전하게 보호할 수 있도록 최선을 다할 것입니다.

 

5. 참고 자료

 

 

최신 CVE 기반 취약점 현황

 

1. 고위험 취약점 현황 (2025.03)

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2. 고위험 취약점 설명

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Scroll Up