인증 없이 RCE 가능... 패치 외 대응책 없어

[보안뉴스 김형근 기자] 미국 사이버보안및인프라보안국(CISA)이 IT 인프라 관리 핵심 도구인 HPE 원뷰(HPE OneView) 소프트웨어에서 발견된 취약점에 즉각 대처하라고 권고했다.



이번에 발견된 취약점 CVE-2025-37164는 심각도가 최고 수준인 ‘치명적’(Critical) 등급으로 분류됐으며, 실제 공격에 악용되고 있는 것으로 확인됐다.

HPE가 만든 HPE 원뷰 프로그램은 원래 기업의 서버, 저장 장치, 네트워크 기기를 한 곳에서 제어하고 자동화하는 인프라 관리 도구다.

이 취약점은 베트남 보안 연구원 응우옌 꾸옥 칸이 발견해 HPE에 보고했다. 인증되지 않은 외부 공격자가 쉽게 코드 주입 공격을 수행할 수 있어 위험이 크다.

공격에 성공할 경우, 패치되지 않은 시스템에서 원격코드실행(RCE) 권한을 획득해 시스템 전체를 장악할 수 있다.

HPE는 이미 작년 12월 보안 패치를 배포했다. 그러나 여전히 패치를 적용하지 않은 기업들이 공격 표적이 돼왔다.

특히 이 결함은 별도의 임시 방편 수단이나 완화 조치가 존재하지 않아 업데이트만이 유일한 해결책이다. HPE는 모든 고객에게 즉시 v11.00 이상의 버전으로 업그레이드할 것을 강력히 권고했다.

CISA는 이 취약점을 실제 악용되는 결함 목록(KEV)에 공식적으로 추가해 사안의 심각성을 알렸다.

미국 연방 민간 행정부(FCEB) 기관들은 명령(BOD 22-01)에 따라 28일까지 반드시 보안 조치를 완료해야 한다. 이 명령은 구속성을 가진다.

CISA는 연방 기관뿐만 아니라 민간 부문의 모든 조직도 이 치명적인 위협으로부터 기기를 보호하기 위해 즉시 패치할 것을 촉구했다. 즉각 패치가 불가능할 경우 제품 사용을 중단해야 할 만큼 위험성이 높다고 경고했다.

HPE는 세계 포춘 500대 기업의 90% 이상을 고객으로 두고 있어 이번 사고의 잠재적 피해 범위는 상상을 초월할 것으로 예상된다.

HPE는 작년에도 아루바 액세스포인트의 하드코딩된 자격 증명 문제 등 여러 보안 결함으로 곤혹을 치른 바 있다.

HPE 원뷰 사태는 중앙집중화된 관리 도구가 해킹의 교두보가 될 때 시스템 전체가 마비될 수 있다는 공급망 공격의 치명적 위험성을 보여줬다. 디지털 전환이 가속화될수록 인프라 소프트웨어 보안이 기업 문제를 넘어 국가 안보와 직결된 최우선 과제로 다루어야 한다고 전문가들은 지적한다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>