2025.6.05 커넥트와이즈(ConnectWise) ScreenConnect 클라우드 버전 해킹 사고

사건 개요

• 2025년 5월, 미국 IT 관리 및 원격 접속 솔루션 기업 커넥트와이즈의 ScreenConnect 클라우드 버전이 국가 배후 해커의 공격을 받음
• 공격자는 고도화된 기술을 보유한 국가 지원 해킹 조직으로 추정됨
• 취약점 CVE-2025-3935를 악용한 원격 코드 실행(RCE) 공격
• 커넥트와이즈는 **사이버 보안 전문 기업 맨디언트(Mandiant)**와 함께 포렌식 조사 및 보안 대응에 착수
• 현재까지 추가 피해 정황은 발견되지 않음

 

 

 피해 규모

• 피해 대상: ScreenConnect 클라우드 인스턴스를 사용 중인 일부 고객
• 현재까지 온프레미스 고객 대상의 피해 보고는 없음
• 고객의 데이터나 시스템이 실제로 손상되었는지는 명확히 언급되지 않았지만, 시스템 권한 탈취 및 악성 페이로드 삽입 가능성이 존재함

 

 

사고 원인

• 공격자는 **25.2.3 버전 이하의 스크린커넥트 취약점(CVE-2025-3935)**을 악용
  • 원인: ASP.NET ViewState의 역직렬화 취약점
  • 공격 방식: 머신 키(machine key)를 탈취한 뒤 악성 페이로드를 삽입하여 서버 내 원격 코드 실행(RCE) 유도
• 해당 취약점은 2025년 4월 24일 배포된 25.2.4 버전에서 패치 완료
  • ViewState 기능 비활성화 및 관련 종속성 제거
• 커넥트와이즈는 온프레미스 사용자들에게도 즉각적인 업데이트를 권고