Veeam Backup & Replication v12에서 발견된 CVE-2026-44963(CVSS v4 9.4) RCE 취약점. 저 권한 도메인 계정으로 백업 서버 완전 장악 가능. 2026년 6월 9일 패치 배포, 미패치 시스템 랜섬웨어 악용 위험 높음.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
2026년 6월 9일, WatchTowr의 보안 연구원 Sina Kheirkhah가 Veeam Backup & Replication(VBR)에서 치명적인 결함을 신고했다. 결함 번호 , CVSS v4 9.4 — Active Directory 도메인에 연결된 저 권한 계정 하나면 백업 서버에서 원격 코드를 실행할 수 있다.
같은 날 Veeam은 긴급 패치 버전 12.3.2.4854를 배포했다. 그러나 이미 역사는 패치 공개가 끝이 아님을 반복해서 증명했다. (CVSS 9.8) 패치가 나온 지 약 2주 만에 Akira와 Fog 랜섬웨어 조직이 해당 결함을 무기화했다. Veeam은 이번 어드바이저리에서도 명시적으로 경고했다: "패치 공개 후 공격자들은 역공학으로 패치를 분석해 미패치 시스템을 표적으로 삼는다." 이 경고가 근거 없는 관용구가 아닌 이유는 VBR이 공격자에게 왜 그토록 매력적인 표적인지를 보면 알 수 있다.
| 항목 | 내용 |
|---|---|
| CVE | |
| CVSS v4 | 9.4 Critical |
| 영향 버전 | VBR 12, 12.3.2.4465 이하 전 v12 빌드 |
| 패치 버전 | 12.3.2.4854 (2026-06-09) |
| 공격 조건 | 도메인 가입 서버 + 저 권한 도메인 계정 |
Veeam Backup & Replication은 전 세계 55만 곳 이상의 조직이 사용하고, Fortune 500 기업의 82%, Global 2000 기업의 74%가 의존하는 엔터프라이즈 백업 인프라의 사실상 표준이다.
랜섬웨어 운영자의 전술 논리는 단순하다. 피해 조직이 백업에서 복구할 수 있으면 몸값을 낼 이유가 없다. 따라서 공격자들은 랜섬웨어 배포 전 단계에서 백업 시스템을 먼저 장악하거나 삭제하는 방식을 표준 TTP로 채택했다. VBR 서버는 조직의 최후 복구 수단이자, 그래서 가장 위험한 표적이 됐다.
2023년 이후 Veeam 취약점의 역사는 이 구조를 체계적으로 보여준다.
Veeam의 공식 어드바이저리(KB4869)는 결과만 공개했다: "도메인 사용자가 백업 서버에 원격 코드를 실행할 수 있다." 정확한 근본 원인은 아직 공개되지 않았다.
CVSS v4 벡터(AV:N/AC:L/AT:N/PR:L/UI:N)는 공격 구조를 그대로 드러낸다. 네트워크 접근이 가능하고 낮은 권한만 있으면 — 추가 조건도, 사용자 상호작용도 불필요하다.
WatchTowr는 과거 Veeam 취약점 연구에서 .NET 역직렬화(deserialization) 결함 패턴을 반복적으로 문서화했다. 분석에서는 아래 두 클래스가 DataSet을 상속하는 구조를 악용 가능한 벡터로 지목했다.
| 클래스 | 문제 구조 |
|---|---|
Veeam.Backup.EsxManager.xmlFrameworkDs | DataSet 상속 |
Veeam.Backup.Core.BackupSummary | DataSet 상속 |
.NET DataSet 역직렬화 취약점의 특성상, 인증을 통과한 낮은 권한 계정이 직렬화된 객체를 서버에 전달하면 서버 측에서 임의 코드가 실행되는 경로가 열릴 수 있다. 도 유사한 역직렬화 경로를 통할 것이라는 추정이 보안 커뮤니티에서 제기되고 있다. 공식 확인은 아직 없다.
공격이 작동하는 조건: VBR 서버가 Windows Active Directory 도메인에 가입되어 있어야 한다. 워크그룹(도메인 비가입) 구성은 영향을 받지 않는다. 버전 13.x도 아키텍처 변경으로 이 취약점에 해당하지 않는다.
공개 어드바이저리가 배포되는 순간, 패치 바이너리를 역공학하는 작업이 시작된다. Veeam 취약점의 과거 데이터는 이 시간을 2~4주로 보여준다.
이 실제로 어떻게 악용됐는지는 분석 보고서로 남아 있다. 공격자들은 MFA 없는 VPN 게이트웨이를 초기 거점으로 삼았다. VBR 서버 접근 후 Veeam.Backup.MountService.exe가 net.exe를 자식 프로세스로 생성하게 했다. 로컬 계정 point를 만들고 로컬 관리자 및 원격 데스크톱 사용자 그룹에 추가했다. 이후 Hyper-V에 랜섬웨어를 배포하고 Rclone으로 데이터를 유출했다.
은 이 패턴의 진입 장벽을 한 단계 낮춘다. 이 인증 없이도 접근 가능했다면, 은 도메인 계정만 탈취하면 동일한 결과에 도달한다. 내부 침투에 이미 성공한 공격자라면 도메인 계정은 확보된 상태다. 이 결함은 그 시점에서 백업 서버까지의 거리를 좁힌다. 공개 시점에서는 야생 악용이 보고되지 않았다. 그러나 과거 패턴이 반복된다면 무기화까지 남은 시간은 2~4주다.
악용 시 공격자가 남길 수밖에 없는 흔적은 Veeam 서비스 프로세스의 비정상 자식 프로세스다.
정상적인 Veeam 서비스 실행 파일은 사용자 명령줄 도구를 직접 자식 프로세스로 생성하지 않는다. 이 프로세스 관계가 탐지의 핵심 시그널이다. RCE가 성공하면 Veeam 서비스 하위에서 시스템 관리 도구들이 자식 프로세스로 나타난다(아래 Sysmon 항목 참조).
Sysmon Event ID 1 (프로세스 생성) 모니터링 포인트:
Veeam.Backup.*.exe 패턴cmd.exe, powershell.exe, net.exe, whoami.exe, wmic.exe네트워크 신호: VBR 서버는 정상 운영에서 관리 트래픽 외에 외부로 아웃바운드 연결을 시작하지 않는다. VBR API 포트(기본 8000·9392번)에 도메인 사용자 인증 후 즉시 외부 IP로의 아웃바운드 연결이 발생하면 익스플로잇 페이로드 콜백 신호일 수 있다.
계정 생성: 악용 패턴에서 로컬 계정 생성이 즉각 뒤따랐다. Windows Security Event ID 4720(사용자 계정 생성)을 VBR 서버에서 모니터링하면 이 흔적이 포착된다.
MITRE ATT&CK 매핑 (공식 매핑 없음 — 분석 기반 추정):
국내 엔터프라이즈 환경에서도 Veeam Backup & Replication은 백업 솔루션으로 광범위하게 도입되어 있다. Active Directory 기반 Windows 도메인 환경이 표준인 금융·제조·공공기관에서 의 공격 조건이 그대로 적용된다.
을 무기화한 Akira와 Fog는 국내 조직을 포함한 글로벌 랜섬웨어 캠페인을 운영하는 그룹이다. 그들이 이전 Veeam 취약점에서 보여준 패턴 — 패치 후 2~4주 안에 미패치 시스템 표적화 — 이 에서 반복될 경우, VBR 12 버전을 패치 전 상태로 운영 중인 국내 조직도 그 표적 범위 안에 있다. 국내 랜섬웨어 피해 사례에서 백업 삭제가 피해를 가중시키는 패턴이 반복적으로 확인되는 만큼, 이번 취약점이 열어두는 경로의 실질적 위험은 작지 않다.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.