사건 개요
- 2025년 5월, 미국 IT 관리 및 원격 접속 솔루션 기업 커넥트와이즈의 ScreenConnect 클라우드 버전이 국가 배후 해커의 공격을 받음
- 공격자는 고도화된 기술을 보유한 국가 지원 해킹 조직으로 추정됨
- 취약점 CVE-2025-3935를 악용한 원격 코드 실행(RCE) 공격
- 커넥트와이즈는 **사이버 보안 전문 기업 맨디언트(Mandiant)**와 함께 포렌식 조사 및 보안 대응에 착수
- 현재까지 추가 피해 정황은 발견되지 않음
피해 규모
- 피해 대상: ScreenConnect 클라우드 인스턴스를 사용 중인 일부 고객
- 현재까지 온프레미스 고객 대상의 피해 보고는 없음
- 고객의 데이터나 시스템이 실제로 손상되었는지는 명확히 언급되지 않았지만, 시스템 권한 탈취 및 악성 페이로드 삽입 가능성이 존재함
사고 원인
- 공격자는 **25.2.3 버전 이하의 스크린커넥트 취약점(CVE-2025-3935)**을 악용
- 원인: ASP.NET ViewState의 역직렬화 취약점
- 공격 방식: 머신 키(machine key)를 탈취한 뒤 악성 페이로드를 삽입하여 서버 내 원격 코드 실행(RCE) 유도
- 해당 취약점은 2025년 4월 24일 배포된 25.2.4 버전에서 패치 완료
- ViewState 기능 비활성화 및 관련 종속성 제거
- 커넥트와이즈는 온프레미스 사용자들에게도 즉각적인 업데이트를 권고
'정보보안 > 사건사고' 카테고리의 다른 글
| 2025.6.10 중국 역대 최대 40억건 개인정보 유출 (2) | 2025.06.10 |
|---|---|
| 2025.6.09 중국 아이순(Aison) 해킹 의혹과 LG U+ 및 정부기관 관련 사이버 공격 정황 (0) | 2025.06.09 |
| 2025.6.05 고양도시관리공사 공영주차장 시스템 해킹으로 개인정보 유출 (0) | 2025.06.05 |
| 2025.6.04 디올(Dior)과 티파니(Tiffany)에서 발생한 개인정보 유출 사고 (0) | 2025.06.05 |
| 2025.5.27 DB보안 업체 신시웨이에서 개인정보 유출 (0) | 2025.05.27 |