2025년 7월 패치된 WinRAR 경로 조작 결함 CVE-2025-8088이 1년 가까이 지나도 가마레돈 등 러시아 연계 그룹 2곳에 의해 우크라이나 군·정부를 노리는 데 악용됐다. 이미 고쳐진 취약점이 가장 흔한 침투 경로가 되는 이유를 분석한다.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
2026년 6월, 우크라이나의 한 정부 기관에 평범해 보이는 압축파일 하나가 도착했다. 받는 사람이 파일을 푸는 순간, 압축 안의 실행 파일은 사용자가 지정한 폴더가 아니라 윈도우 시작 프로그램 폴더에 조용히 자리를 잡았다. 다음 재부팅과 함께 정보 탈취형 악성코드가 깨어났다. 이 모든 일의 출발점인 WinRAR 취약점 은 새로 발견된 제로데이가 아니었다. 이미 1년 가까이 전에 패치가 나온, 고쳐졌어야 할 결함이었다.
보안 기업 Trend Micro는 2026년 6월, 같은 취약점을 노린 두 건의 러시아 연계 캠페인을 공개했다. 패치가 배포된 지 약 11개월이 지난 시점이었다.
두 캠페인은 각각 Earth Dahu와 SHADOW-EARTH-066에 귀속됐다. Earth Dahu는 더 익숙한 이름으로 가마레돈(Gamaredon)이며, 또 다른 그룹 SHADOW-EARTH-066은 우크라이나 침해대응팀이 UAC-0226으로 추적해 온 행위자다.
가마레돈은 무명의 신생 조직이 아니다. 우크라이나 정부는 2021년 11월 이 그룹을 러시아 연방보안국(FSB) 산하 조직으로 공식 귀속했고, MITRE ATT&CK는 G0047로 분류한다. 2013년부터 우크라이나의 군, 법 집행기관, 사법부, 비영리 단체를 끊임없이 노려 온 국가 연계 첩보 그룹이다. 전쟁이 장기화되면서 이들의 표적은 더 분명해졌다. 이번 두 캠페인의 목적 역시 데이터 탈취와 사이버 첩보였다.
여기서 핵심 질문이 생긴다. 왜 1년 전에 고쳐진 결함이 지금도 통하는가. 답을 미리 말하자면, 결함 자체보다 그 결함을 방치한 사용자가 더 오래 남아 있었기 때문이다. 우선 공격이 실제로 어떻게 흘러갔는지부터 따라가 본다.
은 경로 조작(path traversal) 유형의 결함이다. 정상적인 압축 해제라면 파일은 사용자가 고른 폴더 안에만 풀려야 한다. 그러나 이 결함을 악용한 압축파일은 해제 과정에서 파일을 지정한 폴더 바깥의 임의 경로에 떨어뜨릴 수 있었다. 사용자가 보는 화면은 평범한 압축 해제 그대로지만, 실제로는 의도하지 않은 시스템 위치에 파일이 심기는 것이다.
공격자가 노린 대표적 위치가 윈도우 시작 프로그램 폴더였다. 이 폴더에 놓인 실행 파일은 윈도우가 부팅될 때마다 자동으로 실행되도록 설계돼 있다. 한 번 그곳에 악성 실행 파일이 심기면, 사용자가 컴퓨터를 켤 때마다 악성코드가 다시 깨어난다. 별도의 클릭이나 추가 조작 없이 지속성이 확보되는 셈이다.
가마레돈은 오래전부터 스피어피싱으로 표적에게 파일을 전달해 온 그룹이다. 받는 사람 입장에서는 업무 문서로 위장한 압축파일을 여는 익숙한 동작 하나가 침해의 시작점이 됐다. 최종 단계에서 떨어진 것은 정보를 빼내는 스틸러 계열 악성코드였다.
표적은 우크라이나의 군과 정부 조직이었다. 데이터 탈취와 첩보가 목적인 침해는 유출된 문서 한 건으로 끝나지 않는다. 군·정부 네트워크 내부에 장기 체류 발판이 마련되면, 이후 통신 감청이나 추가 표적 확보로 이어진다.
가마레돈은 이 취약점을 2025년 9월부터 작전에 포함시킨 것으로 분석됐다. 패치가 나온 직후부터, 업데이트하지 않은 사용자가 남아 있는 한 계속 통한다는 계산이 깔려 있었다.
이 사건의 본질은 새로운 제로데이가 아니다. 오히려 그 반대다. 이미 고쳐진 결함, 즉 패치만 적용했으면 막혔을 공격이 1년 가까이 살아남았다는 점이 핵심이다.
WinRAR는 전 세계 5억 명 이상이 쓰는 압축 도구지만, 자동 업데이트 기능이 없다. 사용자가 직접 새 버전을 받아 설치하지 않으면 구버전이 그대로 남는다. 압축 프로그램은 브라우저나 운영체제보다 업데이트 우선순위에서 늘 뒤로 밀린다. 공격자들은 바로 이 빈틈을 노린다. 결함이 패치된 그 순간이 아니라, 사용자가 패치를 미루는 그 긴 공백이 공격의 실제 무대였다.
통계가 이를 뒷받침한다. Verizon의 2026년 데이터 침해 조사 보고서에 따르면, 미국 사이버보안·인프라보안국(CISA)이 지정한 주요 악용 취약점 가운데 완전히 해결된 비율은 26%에 그쳤다. 이미 패치가 존재하는 알려진 취약점을 통한 침해가 거듭 보고된다. 가장 흔한 침투 경로는 첨단 제로데이가 아니라, 고칠 수 있었는데 고치지 않은 결함이다.
한국 사용자에게도 남의 일은 아니다. 국내에서는 반디집 같은 국산 도구의 점유율이 높아 WinRAR 노출은 상대적으로 작지만, 같은 구조의 위험은 자동 업데이트가 없는 어떤 도구에도 적용된다. 방치된 소프트웨어 자체가 표적이 된다. 공격자에게는 결함의 종류보다, 고치지 않은 채 남아 있는 사용자가 더 중요하기 때문이다.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.