BeyondTrust Remote Support에서 인증 없이 원격 코드를 실행할 수 있는 취약점(CVE-2026-1731, CVSS 9.9)이 공개됐다. 14개월 전 같은 제품의 같은 유형 취약점(CVE-2024-12356)으로 미국 재무부가 침해당했다. 이번에는 AI가 먼저 찾아 패치가 나왔지만, 인터넷에 노출된 8,500대의 온프레미스 서버가 여전히 위험하다.
2024년 12월, 재무부가 뚫렸다
2024년 12월 2일. BeyondTrust의 보안팀이 이상 행동을 탐지했다.
누군가 Remote Support SaaS의 API 키를 탈취했다.
이 API 키로 할 수 있는 일은 단순했다. 로컬 계정의 비밀번호를 초기화하는 것.
초기화된 계정으로 원격 접속하면? 기술 지원 담당자가 고객 PC를 원격 조종하듯, 워크스테이션을 통째로 제어할 수 있다.
공격자는 이 방법으로 미국 재무부에 들어갔다.
3일 뒤인 12월 5일, BeyondTrust가 API 키를 폐기했다. 12월 8일, 재무부에 통보했다. 12월 30일, 재무부가 의회에 보고했다.
그 사이 공격자가 가져간 것들:
- 400대 이상의 워크스테이션 접근 — Bloomberg 보도
- 3,000건 이상의 파일 탈취 — Bloomberg 보도
- OFAC(해외자산통제국)와 CFIUS(외국인투자심사위원회) 자료 — SecurityWeek 보도
- "Law Enforcement Sensitive" 마킹 문서 포함
공격자는 Silk Typhoon. 중국 국가지원 APT 그룹으로, 과거 Microsoft Exchange Server 취약점(ProxyLogon)을 대규모로 악용한 그룹이다.
이때 악용된 취약점이 CVE-2024-12356. CVSS 9.8, Pre-authentication Command Injection.
14개월 뒤, 같은 구멍
2026년 1월 31일.
보안 연구원 Harsh Jaiswal이 BeyondTrust Remote Support 코드를 분석하고 있었다. 그런데 직접 코드를 읽은 게 아니다. AI 에이전트를 돌렸다.
Jaiswal이 이끄는 Hacktron AI는 자율 보안 에이전트를 개발하는 회사다. 이 에이전트에게 시킨 작업은 "변형 분석(variant analysis)" — CVE-2024-12356이 패치된 지점 주변에서 같은 패턴의 다른 취약점을 찾는 것이다.
AI가 찾아냈다.
CVE-2024-12356과 같은 유형, 같은 제품, 같은 공격 벡터. 인증 없이 OS 명령을 실행할 수 있는 또 다른 지점.
이것이 CVE-2026-1731이다.
| 항목 | 내용 |
|---|---|
| CVE | CVE-2026-1731 |
| CVSS v4.0 | 9.9 (Critical) |
| 유형 | CWE-78: OS Command Injection |
| 인증 필요 | 없음 (Pre-auth) |
| 영향 제품 | Remote Support ≤ 25.3.1, PRA ≤ 24.3.4 |
| 패치 | RS 25.3.2, PRA 25.1.1 |
"Exploitation is straightforward" — Help Net Security, 2026.02.09
원격 지원 도구의 구조적 문제
BeyondTrust Remote Support가 뭘 하는 제품인지부터 이해해야 한다.
IT 헬프데스크 직원이 직원의 PC 문제를 원격으로 해결하는 도구다. 기업 내부망에 있는 PC에 방화벽을 뚫지 않고 접속할 수 있도록 설계됐다.
핵심 구성 요소는 B Series Appliance. 이 장비가 모든 통신의 중심점이다.
작동 방식을 단순화하면:
| 단계 | 동작 |
|---|---|
| 1 | 헬프데스크 직원이 B Series Appliance에 접속 |
| 2 | 고객 PC의 에이전트가 같은 Appliance에 연결 |
| 3 | Appliance가 둘 사이를 중재 |
| 4 | 원격 데스크톱, 파일 전송, 시스템 진단 가능 |
편리하다. 하지만 공격자 입장에서 보면?
이 Appliance는 의도적으로 방화벽을 우회하도록 만들어졌다. VPN 없이 내부 네트워크의 엔드포인트에 접근할 수 있다. 그리고 접속하면 파일 전송, 원격 데스크톱 제어, 시스템 정보 수집이 가능하다.
즉, 보안 도구 자체가 공격자의 이상적인 침투 경로가 된다.
이건 BeyondTrust만의 문제가 아니다. 2026년 1월에는 Fortinet FortiGate 방화벽에서 인증 우회 취약점(CVE-2026-24858)으로 10,000대 이상이 침해됐다. 보안 장비가 인터넷에 노출되고, 그 장비에 Pre-auth 취약점이 있으면 — 방화벽이든 원격 지원이든 — 공격자에게는 열린 문이다.
공격 벡터 분석: CVSS 9.9의 의미
CVE-2026-1731의 CVSS v4.0 벡터를 분해하면:
| CVSS 요소 | 값 | 의미 |
|---|---|---|
| Attack Vector | Network | 원격에서 공격 가능 |
| Attack Complexity | Low | 특별한 조건 불필요 |
| Privileges Required | None | 인증 없이 가능 |
| User Interaction | None | 피해자 행동 불필요 |
네 가지 조건이 전부 "최악"이다.
인터넷에서, 아무 조건 없이, 로그인 없이, 피해자가 아무것도 하지 않아도 공격이 성공한다.
결과도 심각하다. 기밀성, 무결성, 가용성 모두 High. 공격자는 site user 권한으로 OS 명령을 실행하므로, 서버에서 할 수 있는 거의 모든 것을 할 수 있다.
BeyondTrust가 연결하는 엔드포인트까지 고려하면, 하나의 Appliance 침해가 연결된 모든 내부 워크스테이션의 침해로 이어질 수 있다. 재무부 사건이 정확히 이 경로였다.
같은 코드, 같은 버그, 14개월
가장 주목할 점은 패턴이다.
| 비교 | CVE-2024-12356 | CVE-2026-1731 |
|---|---|---|
| 공개 | 2024년 12월 | 2026년 2월 |
| CVSS | 9.8 | 9.9 |
| 유형 | Command Injection | Command Injection |
| 인증 | Pre-auth | Pre-auth | | 발견 | 공격 후 발견 | AI가 사전 발견 | | 실제 악용 | Silk Typhoon → 재무부 | 미확인 |
14개월 동안 같은 제품군에서 Pre-auth Command Injection이 두 번 나왔다. 그리고 CVE-2026-1731은 CVE-2024-12356의 변형(variant)으로 발견됐다.
이것이 의미하는 바:
2024년 12월, BeyondTrust는 CVE-2024-12356을 패치했다. 하지만 같은 코드 패턴이 다른 지점에 남아 있었다. 첫 번째 취약점을 고치면서 근본 원인을 제거하지 못한 것이다.
이 문제를 첫 번째 패치에서 잡았어야 했다. 하지만 잡지 못했고, 14개월이 지나서야 AI가 발견했다. 그 14개월 동안 이 변형을 다른 공격자가 먼저 찾았을 가능성은 배제할 수 없다.
AI vs APT: 누가 먼저 찾느냐의 싸움
이 사건에서 가장 흥미로운 부분은 발견 방식이다.
CVE-2024-12356은 Silk Typhoon이 먼저 찾았다. 공격이 이미 진행된 뒤에야 취약점이 공개됐다. 재무부는 400대의 워크스테이션과 3,000건의 파일을 잃었다.
CVE-2026-1731은 AI가 먼저 찾았다. Hacktron AI의 자율 보안 에이전트가 변형 분석을 수행해 발견했다. 발견부터 SaaS 패치까지 2일, 어드바이저리 공개까지 6일.
| 비교 | CVE-2024-12356 | CVE-2026-1731 |
|---|---|---|
| 선발견자 | 공격자 (Silk Typhoon) | 방어자 (Hacktron AI) |
| 발견 → 패치 | 14일+ | 2일 (SaaS) |
| 피해 | 재무부 400대 침해 | 없음 (현재까지) |
같은 제품, 같은 유형의 취약점. 하나는 국가가 먼저 찾아서 재무부를 뚫었고, 다른 하나는 AI가 먼저 찾아서 막았다.
그러나 위험이 사라진 것은 아니다. 인터넷에 노출된 약 8,500대의 온프레미스 Remote Support 서버는 수동으로 패치해야 한다. RS 21.3 이전 또는 PRA 22.1 이전 버전은 패치 적용이 불가능하고 업그레이드가 필요하다.
대응 현황
| 대상 | 상태 |
|---|---|
| SaaS 고객 | 2월 2일 자동 패치 완료 |
| 온프레미스 RS ≥ 21.3 | 패치 BT26-02-RS 적용 필요 |
| 온프레미스 PRA ≥ 22.1 | 패치 BT26-02-PRA 적용 필요 |
| RS < 21.3 / PRA < 22.1 | 버전 업그레이드 필수 |
지금 당장 해야 할 것:
- BeyondTrust Remote Support 또는 PRA를 운영 중이라면, 즉시 패치 적용
- 접근 로그에서 비정상 원격 지원 세션 확인
- 원격 지원 도구의 네트워크 노출 범위 점검
- BeyondTrust 인스턴스가 인터넷에 직접 노출되어 있다면 네트워크 분리 검토
원격 지원 도구를 노리는 이유
공격자가 원격 지원 도구를 노리는 이유는 명확하다.
첫째, 설계상 방화벽을 우회한다. 원격 지원 도구는 IT 직원이 어디서든 내부 PC에 접속할 수 있도록 만들어졌다. 이 "편의성"은 공격자에게도 동일하게 적용된다.
둘째, 높은 권한을 갖는다. 원격 데스크톱 제어, 파일 전송, 시스템 진단 — 기술 지원에 필요한 권한은 공격자에게도 충분한 권한이다.
셋째, 신뢰받는 트래픽이다. 보안 모니터링 도구는 원격 지원 도구의 트래픽을 정상으로 분류한다. 공격자가 정상 세션처럼 위장하면 탐지가 극히 어렵다.
Fortinet 방화벽이든 BeyondTrust 원격 지원이든, 보안 인프라 자체가 인터넷에 노출된 공격 표면이라는 점은 같다. 그리고 이 공격 표면에 Pre-auth 취약점이 있으면, 내부 네트워크로 가는 가장 빠른 길이 된다.
BeyondTrust CVE-2026-1731은 단독 사건이 아니다. 14개월 전 같은 제품의 같은 유형 취약점으로 미국 재무부가 침해됐고, 이번에는 AI가 공격자보다 먼저 찾아 최악의 시나리오를 막았다. 하지만 근본 문제 — 같은 코드에서 같은 유형의 버그가 반복되는 것 — 는 패치로 해결되지 않는다. 원격 접근 도구를 운영하는 조직이라면, 패치 적용을 넘어 해당 도구의 네트워크 노출 범위 자체를 재검토해야 한다.
참고 자료
- NVD - CVE-2026-1731
- BeyondTrust Security Advisory BT26-02
- The Hacker News - BeyondTrust Fixes Critical Pre-Auth RCE (2026.02)
- Help Net Security - CVE-2026-1731 Analysis (2026.02.09)
- GitGuardian - Treasury Breach Summary (2025.01)
- SecurityWeek - CFIUS/OFAC Targeted in Treasury Hack (2025.01)
- BleepingComputer - Treasury Hackers Breached CFIUS (2025.01)
- The Hacker News - BeyondTrust Zero-Day Breach Exposed 17 SaaS Customers (2025.02)
- Fortinet 제로데이: 10,000대 방화벽이 뚫린 CVE-2026-24858의 전말 — REVELARE
관련 글 더 보기
- Fortinet 제로데이: 10,000대 방화벽이 뚫린 CVE-2026-24858의 전말
- CVE-2026-20952: Office 미리보기만으로 감염되는 Zero-Click 취약점
- Office 제로데이 긴급 패치: 8년 된 기법이 돌아왔다 | CVE-2026-21509
안내 및 법적 고지
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 기술적 사실관계는 인용된 참고 자료(NVD, BeyondTrust 어드바이저리, 보안 미디어)에 근거하며, 분석적 해석과 비유는 이해를 돕기 위해 작성되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 취약점을 허가 없이 실제 시스템에 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.
COMMENTS (0)
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.