2026년 6월 29일, MDR 업체 Blackpoint는 공격자가 인증 없이 SimpleHelp 서버의 최고 권한 계정을 만든 뒤 해당 MSP가 관리하는 모든 고객 환경에 동시 진입한 사례를 공개했다. 공격자가 남긴 페이로드는 이번 캠페인에서 처음 확인된 크로스플랫폼 정보 탈취 악성코드 Djinn 스틸러였다. 취약점 은 공개 디스클로저로부터 불과 16일 만에 실제 악용이 확인됐다.
왜 MSP 원격 접속 도구가 위험한가
SimpleHelp는 IT 헬프데스크와 MSP가 고객 장비를 원격 관리하는 플랫폼이다. 제품의 구조 자체가 피해를 증폭한다. 하나의 SimpleHelp 서버는 해당 MSP가 담당하는 수십~수백 곳 고객사로 가는 단일 게이트웨이다. 서버 하나가 뚫리면 고객 전체가 동시에 노출된다.
Horizon3.ai가 공개 인터넷을 스캔한 결과, OIDC를 활성화한 SimpleHelp 서버는 전체의 약 7.2%였다. 1만 4,000대 중 즉시 공격 가능한 서버는 약 1,000대 규모다. 2025년 1월 3,400대에서 2026년 6월 1만 4,000대로 노출 서버가 급증한 배경에는 MSP 시장 성장이 있다.
의 CVSS 점수는 10.0. 인증이 전혀 필요 없는 원격 공격이다.
결함이 어떻게 작동하는가
OpenID Connect(OIDC) 인증에서 SimpleHelp 서버는 클라이언트가 제출하는 JWT(Identity Token)의 암호화 서명을 검증하지 않는다. Horizon3.ai 분석에 따르면, 공격자는 technician 역할과 임의 이메일 클레임을 담은 JWT를 서명 없이 제출하면, 서버는 이를 유효한 OIDC 로그인으로 처리해 기술자 세션을 발급한다.
위조 세션으로 진입한 공격자는 MFA도 우회할 수 있다. SimpleHelp는 첫 로그인 시 기술자가 MFA 기기를 직접 등록하는 구조이기 때문에, 공격자가 위조 세션을 통해 진입한 직후 자신의 기기를 먼저 등록해버릴 수 있다. 이후 정상 기술자가 로그인을 시도하더라도 공격자 기기가 이미 MFA를 선점한 상태다.
악용 조건은 세 가지다. OIDC 공급자가 하나 이상 구성되어 있고, 해당 공급자에 연결된 TechnicianGroup이 존재하며, "Allow group authenticated logins"가 활성화된 경우다. 세 조건이 모두 충족될 때만 공격이 가능하다. Horizon3.ai 스캔 기준으로 이 조건에 해당하는 서버는 전체 노출 서버의 약 7.2%, 약 1,000대 규모다.
악용 전개
공개 디스클로저 후 16일 만에 실제 악용이 확인됐다. Blackpoint가 분석한 사례의 피해 서버는 세 조건이 모두 충족된 환경이었다.
공격자는 로 기술자 세션을 확보한 뒤, Cloudflare 임시 도메인에서 TaskWeaver 로더를 jquery.js로 위장해 내려받았다. TaskWeaver는 C2와 통신하며 JavaScript 모듈을 동적으로 수신·실행한다. 이 모듈 중 하나로 Djinn 스틸러가 메모리에 로드되어 데이터 수집을 시작한다.
Djinn 스틸러는 이번 캠페인에서 처음 확인된 크로스플랫폼 인포스틸러로 Windows·macOS·Linux를 동시에 지원한다. 탈취 대상은 광범위하다.
AI 개발 도구 자격증명: Claude API 키, Gemini, Codex, Cline 설정 파일
국내 MSP·IT 아웃소싱 시장에서도 원격 접속 관리 도구는 광범위하게 활용된다. Djinn 스틸러가 Claude·Gemini와 같은 AI 개발 도구 자격증명을 명시적으로 표적으로 삼는다는 점은 국내 개발자 환경에도 직접 적용된다. AI 개발 도구 사용이 빠르게 늘고 있는 국내 환경에서 API 키 유출은 서비스 비용 착취와 모델 오남용으로 이어질 수 있다. 디스클로저 16일 만에 실제 악용이 확인된 이번 사례는, 취약한 원격 관리 서버 하나만 존재해도 연결된 전체 고객사로 피해가 확산될 수 있음을 다시 상기시킨다.