2026년 6월 29일, 보안 연구팀 watchTowr Labs가 Kemp LoadMaster의 사전인증(pre-auth) 원격 코드 실행 취약점 의 기술 분석과 공개 PoC를 발표했다. 같은 날, 캐나다 사이버보안 기업 eSentire의 위협 대응팀(TRU)은 세 곳의 외부 IP에서 이 취약점을 노린 공격 시도를 탐지했다. Progress Software가 패치를 배포한 지 25일 만에 벌어진 일이다.
왜 이 취약점이 위험한가
Kemp LoadMaster는 115개국 25,000개 이상 기업이 사용하는 애플리케이션 전송 컨트롤러(ADC)다. 기업 내부 네트워크와 외부 인터넷 사이 엣지에 위치하며 Microsoft Exchange, 원격 데스크톱 서비스(RDS), 기업 웹 애플리케이션의 트래픽을 분산 처리한다. 2019년 기준 전 세계 배포 수는 100,000대를 돌파했다.
이 장비를 인증 없이 장악하면 공격자는 내부 인프라로 진입하는 교두보를 얻는다. LoadMaster 뒤에는 Exchange 서버, RDS 엔드포인트, 기업 웹 애플리케이션이 놓여 있다.
Progress Software라는 이름도 눈여겨볼 필요가 있다. 2023년 Cl0p 랜섬웨어 그룹이 MOVEit Transfer()를 악용해 2,700개 이상 조직에서 9,330만 명 이상의 데이터를 탈취했다. 같은 회사의 LoadMaster에서도 2024년 CVSS 10.0 취약점()이 CISA KEV에 등재된 전례가 있다. 은 그 계보를 잇는 세 번째 주요 공격 벡터다.
결함의 구조: escape_quotes() 함수의 두 가지 오류
watchTowr Labs의 분석에 따르면, 취약점의 핵심은 /accessv2 API 엔드포인트의 자격증명 처리 경로에 있는 escape_quotes() 함수다. 이 함수는 사용자 입력을 셸 명령에 전달하기 전 특수문자를 이스케이프하는 역할을 한다. 두 가지 코딩 오류가 결합해 익스플로잇이 가능해진다.
오류 1 — 초기화되지 않은 힙 메모리: 함수가 malloc()으로 버퍼를 할당하지만 초기화하지 않는다. 이전 힙 데이터가 그대로 남아 있다.
오류 2 — 널 종결자 누락: 이스케이프 처리 후 문자열 끝을 알리는 \0을 추가하지 않는다.
공격자는 API 파라미터에 정교하게 설계된 대량의 데이터를 전송(힙 스프레이)해 인접 힙 영역을 제어 가능한 값으로 채운다. 널 종결자가 없는 탓에 후속 system() 호출이 버퍼 경계를 넘어 공격자가 배치한 데이터를 OS 명령으로 실행한다. 결과는 루트 권한의 임의 명령 실행이다.
패치의 변경은 malloc()을 calloc()(메모리를 0으로 초기화)으로 교체하고 명시적 널 종결자를 추가하는 두 줄 수준이다. 구조적으로는 단순하지만, 이 두 오류의 조합이 CVSS 9.8 사전인증 RCE를 만들어냈다.
영향을 받는 버전과 패치 버전:
브랜치
취약 버전
패치 버전
GA (일반 배포)
7.2.63.1 이하
7.2.63.2
LTSF (장기 지원)
7.2.54.17 이하
7.2.54.18
단, 악용에는 LoadMaster의 API 기능이 활성화되어 있어야 한다.
악용 전개
PoC 공개와 실악용 사이의 시간 간격은 사실상 0이었다. eSentire가 포착한 공격 IP는 192.42.116.58, 192.42.116.105, 146.70.139.154 세 곳이며, 특정 위협 그룹에 귀속되지 않은 기회주의적 공격으로 eSentire TRU는 평가했다. eSentire 분석 기준으로는 관측된 시도들이 성공적인 침해로 이어지지 않았으나, "즉각적인 미래에 공격 시도가 증가할 것"이라고 전망했다.
비교 대상인 (CVSS 10.0)는 패치 배포 후 9개월이 지나 CISA KEV에 등재됐다. 은 PoC 공개 당일 공격이 시작됐다. 공개 PoC가 무기화되는 속도가 빨라지고 있다는 점을 이 패턴이 보여준다. EPSS(악용 예측 점수)는 29.641%로 전체 CVE 98번째 백분위, 즉 전체 취약점 중 상위 2% 수준의 악용 가능성을 의미한다.
탐지 관점
공격자는 /accessv2 엔드포인트로 비정상적인 요청을 남길 수밖에 없다.
네트워크 계층: LoadMaster 관리 API 포트(443 또는 8443)에 대한 외부 IP로부터의 POST 요청 급증이 주요 신호다. 힙 스프레이 특성상 JSON 페이로드 크기가 정상 자격증명 요청보다 현저히 크다.
호스트 계층: 취약점이 성공적으로 악용되면 어플라이언스에서 예상치 않은 루트 권한 프로세스가 생성된다. 어플라이언스 시스템 로그의 비정상적인 system() 실행 기록이 추적 대상이다.
패치를 즉시 적용할 수 없는 경우, LoadMaster API 기능 비활성화 또는 신뢰 내부 네트워크로의 접근 제한이 핵심 완화 조치다.
한국 관점
현재까지 국내 기업을 대상으로 한 관련 침해 사고는 공개 보고되지 않았다. 그러나 Kemp LoadMaster는 Microsoft Exchange 및 원격 데스크톱 인프라의 부하 분산 용도로 국내 금융·의료·공공 부문에도 도입된 제품이다.
2023년 MOVEit 사건 이후 Progress Software 제품군은 국내 공급망 점검 대상으로 분류됐다. LoadMaster API가 인터넷에 노출된 환경에서는 즉각적인 버전 확인이 필요하다. 이번 사건이 보여준 'PoC 공개와 실악용 동시 발생' 패턴은 전통적 유지보수 주기로 대응하기 어렵다는 점을 국내 운영 환경에도 상기시킨다.