Ivanti EPMM CVE-2026-6973 제로데이가 실제 공격에 악용됐다. CVSS 7.2, 인터넷 노출 850개 인스턴스, CISA KEV 등재와 3일 패치 기한까지 사건 전말 정리.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
2026년 5월 7일, Ivanti는 자사의 온프레미스 엔드포인트 관리 솔루션 EPMM(Endpoint Manager Mobile)에 새로운 취약점이 실제 공격에 활용되고 있다고 고객에게 통보했다. 으로 지정된 이 결함은 관리자 권한을 보유한 원격 인증 공격자가 서버에서 임의 코드를 실행할 수 있게 한다. CISA는 같은 날 이 취약점을 알려진 익스플로잇 취약점(KEV) 목록에 등재하고, 미국 연방기관에 5월 10일까지 패치를 완료하도록 명령했다.
Ivanti 제품군에서 CISA KEV에 오른 취약점은 이것으로 33번째다. 그중 12건은 랜섬웨어 운영 그룹이 실제 공격에 동원한 것으로 확인됐다. 이 숫자가 이 취약점 공시를 단순한 패치 안내보다 무겁게 만드는 맥락이다.
Ivanti EPMM은 기업이 모바일 기기와 엔드포인트를 중앙에서 일괄 관리하는 온프레미스 MDM(Mobile Device Management) 플랫폼이다. 기기 구성 배포, 앱 설치, 원격 와이프, 보안 정책 적용을 모두 중앙에서 통제한다. MDM 서버를 장악한 공격자는 연결된 수천 개 기기에 접근할 교두보를 얻는다. 전통적인 VPN 서버나 이메일 게이트웨이보다 더 깊은 네트워크 내부로 이어지는 문이다.
Ivanti는 전 세계 40,000여 곳의 조직에 서비스를 제공하며, 7,000개 이상의 파트너를 통해 유통된다. 고객군에는 정부기관과 중요 인프라 운영자가 상당 비중을 차지한다. EPMM이 과거에도 반복적으로 제로데이 표적이 된 이유 가운데 하나다.
Shadowserver의 추적에 따르면 2026년 5월 기준 인터넷에 직접 노출된 EPMM 인스턴스는 850개 이상이다. 지역 분포는 유럽이 508개로 가장 많고, 북미가 182개로 그 뒤를 잇는다.
의 핵심은 EPMM의 입력값 처리 로직에 있다. 부적절한 입력값 검증(Improper Input Validation)이라는 분류는 서버가 외부에서 전달된 데이터를 충분히 걸러내지 않는다는 의미다. 공격자가 조작된 요청을 보내면 서버가 이를 정상 데이터처럼 처리하는 과정에서 코드 실행 경로가 열린다. Ivanti는 공시 시점 기준으로 구체적인 공격 경로와 취약 엔드포인트를 공개하지 않았다.
CVSS 7.2(High)는 취약점의 심각도를 나타내지만, 이 점수에는 공격의 전제조건인 관리자 인증이 이미 반영돼 있다. 즉, 스코어가 낮아 보인다고 해서 실제 위협이 낮다는 의미가 아니다. 관리자 계정을 확보한 공격자가 이 취약점으로 서버 자체를 장악할 수 있다는 점이 핵심이다.
영향받는 버전과 패치 버전은 아래와 같다.
| 영향 버전 | 패치 버전 |
|---|---|
| 12.6.x (12.6.1.1 미만) | 12.6.1.1 |
| 12.7.x (12.7.0.1 미만) | 12.7.0.1 |
| 12.8.x (12.8.0.1 미만) | 12.8.0.1 |
클라우드 기반의 Ivanti Neurons for MDM, EPM, Sentry는 이 취약점의 영향을 받지 않는다. 온프레미스 EPMM 배포 환경만 해당된다.
관리자 자격증명이 전제된다는 사실은 공격 진입 장벽을 높이는 동시에, 그 자격증명을 이미 보유한 공격자에게는 경로를 열어주기도 한다. 문제는 그 자격증명이 이미 어딘가에서 탈취됐을 가능성이다.
2026년 1월, EPMM을 겨냥한 두 건의 제로데이가 동시에 악용됐다. 과 이다. 두 취약점은 인증이 필요 없는 공격 벡터였다. 이 침해 사고에서 탈취된 관리자 자격증명이 여전히 유효한 채로 조직 내에 남아 있다면, 은 그 자격증명의 최종 활용 경로가 된다. 관리자 권한으로 EPMM 서버를 장악하면, 연결된 기기에 구성 배포나 원격 와이프를 지시할 수 있다. 네트워크 전체 엔드포인트로 전파할 수 있는 위치에 서는 것이다.
Ivanti는 공시문에서 이 점을 직접 언급했다. 이전 두 취약점 이후 자격증명을 교체한 조직은 으로 인한 위험이 현저히 낮다는 것이다. 역으로, 그 교체가 이루어지지 않았다면 위험은 누적된다.
Ivanti는 공개 시점 기준 "매우 제한적인" 공격 시도를 확인했으며, 피해 조직은 공식적으로 공개되지 않았다. 그러나 숫자들은 다른 이야기를 한다.
인터넷에 노출된 850개 이상의 인스턴스는 패치가 배포되지 않은 채로 방치될 경우 즉각적인 표적이 된다. CISA가 연방기관에 부여한 3일의 패치 기한은 통상 30일인 KEV 기한에 비해 열 배 단축된 일정으로, 실질적 위험도에 대한 판단을 반영한다.
Ivanti 제품 전반에 걸쳐 CISA KEV에 오른 33건 중 12건이 랜섬웨어 운영과 연계됐다. 이 플랫폼이 공격자들에게 반복적으로 매력적인 진입점으로 작동해온 이유다.
Ivanti EPMM에서 반복되는 취약점 공시는 개별 결함의 문제를 넘어선다. 엔드포인트 관리 인프라 자체가 고가치 공격 대상으로 굳어지고 있다는 신호다.
MDM 플랫폼은 수천 개 기기에 구성을 밀어넣고, 정책을 적용하고, 필요하면 기기를 원격으로 초기화할 수 있다. 이 권한을 가진 관리 서버 하나가 침해되면, 공격자는 단일 접점에서 조직 전체 엔드포인트로 전파할 수 있는 위치를 얻는다. 이것이 공격자들이 VPN이나 방화벽보다 MDM 서버를 집요하게 노리는 이유다.
한 건만이 아니라, 같은 제품에서 33번째 CISA 경고가 발령됐다는 사실은 이미 답을 담고 있다. 한 플랫폼에서 반복적으로 악용 가능한 취약점이 발생한다는 것은, 보안 성숙도가 운영 인프라 선택 기준으로서 실질적인 의미를 가진다는 것을 보여준다.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.
KW_PROTECT_0