중국 OA 플랫폼 Weaver E-cology의 DubboAPI 디버그 엔드포인트를 악용한 CVSS 9.3 비인증 RCE CVE-2026-22679. 3월 n-day 공격 캠페인과 Goby 스캐너 콜백을 포함한 공격자 행동 패턴 분석.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
2026년 3월 중순, 공격자들은 중국 최대 기업용 OA 플랫폼의 내부 디버그 API 경로를 두드렸다. 인증 절차는 없었다. POST 요청 하나로 임의 코드를 실행할 수 있는 길이 열려 있었고, 공격자들은 이미 그 경로로 명령을 실행하고 있었다. 패치는 닷새 전에 배포되어 있었다.
는 Weaver E-cology에서 발견된 취약점이다. CVSS 점수는 9.3(Critical), 분류는 CWE-306(Missing Authentication for Critical Function)으로, 비인증 원격 코드 실행을 허용한다. 80,000개 이상의 기업이 쓰는 시스템이 약 3주간 n-day 공격에 노출됐다.
Weaver E-cology는 상하이에 본사를 둔 Weaver Network(泛微网络)가 개발한 기업용 협업 플랫폼이다. 2001년에 설립된 이 회사는 워크플로우 자동화, 문서 결재, 인사 프로세스, 내부 업무 협업 기능을 하나의 시스템으로 제공한다. 2026년 기준 87개 산업 분야에 걸쳐 80,000개 이상의 고객사를 보유하고 있으며, 중국 대기업 및 공공기관에서 광범위하게 쓰인다.
문제는 E-cology가 종종 인터넷에 직접 노출된다는 점이다. 직원들이 외부에서도 문서를 결재하고 업무를 처리해야 하기 때문에 웹 인터페이스가 외부에 열려 있는 경우가 많다. 이 특성이 를 특히 위협적으로 만든 조건이었다.
문제의 근원은 내부 디버그 API 엔드포인트였다. /papi/esearch/data/devops/dubboApi/debug/method 경로로 노출된 이 API는 원래 개발자 도구다. Dubbo는 중국 IT 기업들이 광범위하게 사용하는 오픈소스 Java RPC 프레임워크다. 이 디버그 엔드포인트는 개발 중 백엔드 서비스를 직접 호출해 테스트하기 위해 만들어진 도구였다.
문제는 이 엔드포인트가 프로덕션 환경에 그대로 남았다는 점, 그리고 인증이 없었다는 점이다. VulnCheck 분석에 따르면, 공격자는 interfaceName과 methodName 파라미터를 조작한 POST 요청을 보내는 것만으로 임의 코드를 실행할 수 있었다. 입력값 검증 없이 파라미터가 RPC 백엔드로 그대로 전달됐기 때문이다.
CVSS 9.3이 의미하는 바는 구체적이다. 인증 없이 (unauthenticated), 원격에서 (remote), 낮은 복잡도로 (low complexity) 임의 코드를 실행할 수 있다. 공격자는 E-cology 계정 하나 없이 인터넷에 노출된 시스템에 POST 요청 하나로 침투할 수 있었다.
Weaver는 2026년 3월 12일 build 20260312를 배포해 이 취약점을 수정했다. 그러나 패치 배포와 실제 적용 사이의 간격이 공격자에게 기회가 됐다. CVE 정보와 PoC가 빠르게 공개되면서, 패치 출시 닷새 후인 3월 17일경부터 아직 업데이트하지 않은 시스템을 노린 공격이 시작됐다.
위협 인텔 기업 Vega가 분석한 정찰 명령 패턴은 오픈소스 스캐너 Goby의 콜백 시그니처와 일치했다. 공격자 attribution은 공개 보고서에서 명시되지 않았지만, 도구 흔적은 표적형이라기보다 인터넷 전체를 훑는 대규모 자동화 캠페인 쪽에 가까웠다.
공격자들은 처음에 정찰에 집중했다. whoami, ipconfig, tasklist 등 표준 정찰 명령으로 시스템이 누구인지, 네트워크 구조가 어떻게 되어 있는지, 어떤 프로세스가 실행 중인지 파악했다. 이 단계에서 이미 시스템 정보가 외부로 나갔다.
정찰 이후 공격자들은 페이로드 배포를 시도했다. fanwei0324.msi라는 이름의 MSI 설치 파일을 심으려 했으나 실행에 실패했다. 실패 원인은 공개된 보고서에 명시되지 않았다.
공격자는 방향을 바꿔 난독화된 파일리스 PowerShell로 원격 스크립트를 가져와 실행하는 방식으로 전환했다. 이 역시 지속적인 접근(persistence) 확보에는 이르지 못했다.
공격 캠페인은 약 1주일간 지속됐다. Shadowserver Foundation이 3월 31일 실제 악용 증거를 공개하면서 사건이 수면 위로 떠올랐다.
공격자가 지속적 접근을 확보하지 못했다는 사실이 이번 사건을 경미하게 볼 근거가 되지 않는다. 정찰 단계에서 이미 시스템 정보가 유출됐다. 공격자는 피해 시스템의 계정 정보, 네트워크 구조, 실행 중인 서비스 목록을 파악했다. 이 정보는 후속 표적 공격의 기반으로 활용될 수 있다.
Weaver E-cology는 기업 내부 깊숙이 연결된 시스템이다. 워크플로우, 결재 문서, 인사 데이터가 여기에 집약된다. 공격자가 이 시스템에 발판을 마련할 경우 내부 네트워크 전반으로 이동(lateral movement)할 수 있는 진입점이 된다.
는 세 가지 구조적 문제를 드러낸다.
프로덕션 환경에 디버그 인터페이스가 그대로 남는 패턴이 반복된다. Dubbo RPC 디버그 엔드포인트는 개발 단계의 도구다. 개발 편의를 위한 기능이 배포 시 제거되지 않고 남는 일은 많은 소프트웨어에서 반복적으로 관찰된다. 는 그 반복의 비용을 보여 준다.
n-day 공격의 속도가 패치 주기를 앞서고 있다. build 20260312가 배포된 지 닷새 만에 PoC가 등장하고 실제 공격이 시작됐다. 87개 산업에 걸쳐 80,000개 시스템을 운영하는 환경에서, 패치 적용에 수 주의 여유가 있다는 인식은 현실과 맞지 않는다.
기업 OA 시스템이 새로운 공격 표면이 됐다. 공격자들은 보안 제품이나 네트워크 장비만 노리지 않는다. HR, 결재, 문서 관리 등 내부 업무 시스템은 네트워크 깊숙이 연결되어 있어 공격자에게 매력적인 진입점이 된다. Weaver E-cology는 그 구조적 취약성이 보안 사건으로 노출된 사례가 됐다.
도입부에서 언급했듯, 패치는 이미 나와 있었다. 공격이 가능했던 것은 취약점 자체보다 패치와 실제 적용 사이의 간격 때문이었다. 그 간격이 3주였고, 그 3주 동안 80,000개 시스템이 노출 상태로 있었다.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.
KW_PROTECT_0