최근 보안 업계에서 주목해야 할 중요한 뉴스가 발표되었습니다. 2026년 1월 8일, 미국 보안강화국(CISA)은 ‘알려진 악용된 취약점(KEV)’ 목록에 새로운 위험 요소들을 추가했습니다.
특히 이번 발표에서 우리가 눈여겨볼 점은 무려 17년이라는 긴 시간을 뛰어넘어 서로 다른 두 취약점이 연결되었다는 사실입니다. 구체적으로는 2009년형 파워포인트와 2025년형 최신 HPE OneView 시스템이 하나의 공격 시나리오로 묶이고 있습니다. 결과적으로 우리 회사의 보안 수준은 최신 방어 시스템이 아니라, 우리가 미처 챙기지 못한 아주 오래된 소프트웨어에 의해 결정될 수 있다는 점을 시사합니다.
/
1. HPE OneView 통합 관리 플랫폼의 치명적 결함 (CVE-2025-37164)
먼저, 현대적인 인프라를 위협하는 핵심 요소를 살펴보겠습니다. 소프트웨어 정의 인프라(SDI) 통합 관리 솔루션인 HPE OneView에서 CVSS 10.0(최고점)의 치명적인 취약점이 발견되었습니다.
- 공격 매커니즘: 이 취약점은 관리 엔진(Fabric) 내의 입력값 검증 미흡으로 인증되지 않은 공격자가 원격 코드 실행(RCE)을 수행할 수 있습니다.
- 비즈니스 파급력: 결과적으로, 공격 성공 시 서버, 스토리지 및 네트워크 자원을 포함한 데이터 센터 전체에 대한 관리 권한을 완전히 탈취당할 수 있는 심각한 위험이 존재합니다.
/
2. 레거시 파워포인트의 부활과 CISA KEV 영향 (CVE-2009-0556)
이러한 최신 인프라 위협과 더불어, 2009년에 보고된 파워포인트 취약점이 여전히 강력한 초기 침투 수단으로 활용되고 있습니다. 놀랍게도, 공격자들은 현대적인 보안 솔루션들이 비교적 느슨하게 감시하는 구형 파일 형식을 전략적으로 선택하고 있습니다.
- 공격 벡터: 예를 들어 악성 코드가 삽입된 구형 .ppt 파일을 활용한 정밀 스피어 피싱(Spear-phishing) 공격을 수행합니다.
- 전략적 리스크: 결국 이러한 레거시 결함은 공격자가 내부망에 진입하는 결정적인 거점(Foothold) 역할을 합니다. 그 다음 단계로 공격자는 이를 발판 삼아 인프라 관리 플랫폼과 같은 고가치 타겟으로 측면 이동(Lateral Movement)을 시도합니다.
/
3. CISA KEV 대응 전략: 1월 28일 마감일 전 조치 사항
이와 같은 복합적인 위협에 대응하기 위해, 모든 기업은 2026년 1월 28일 마감일 이전에 다음과 같은 심층 방어 조치를 완료해야 합니다.
- 첫째, 긴급 인프라 패치: RCE 진입점을 근본적으로 제거하기 위해 노출된 모든 HPE OneView 인스턴스를 즉시 업데이트하십시오.
- 둘째, 기술 부채 자산 폐기: 보안 지원이 종료된 Microsoft Office(2003~2010) 버전을 즉시 폐삭제해야 합니다. 추가적으로, 이메일 게이트웨이에서 구형 파일 형식에 대한 필터링을 강화하는 것이 좋습니다.
- 셋째, 네트워크 세분화(Segmentation): 만약 초기 엔드포인트 침해가 발생하더라도 인프라 전체로 확산되지 않도록, 관리 전용 네트워크를 엄격히 격리해야 합니다.
/
4. CISO를 위한 전략적 제안
요약하자면, 공격자가 레거시 소프트웨어를 통해 거점을 확보하는 순간, HPE OneView와 같은 중앙 관리 자산을 찾기 위한 내부 정찰이 시작됩니다. 그러므로 단순한 패치 관리를 넘어 공격 체인(Attack Chain) 전체를 이해하는 입체적인 방어만이 측면 이동 리스크를 제한하는 유일한 길입니다.
더 나아가 웹쉘 탐지 솔루션 등을 통해 내부망 침투 이후의 이상 징후를 실시간으로 모니터링하는 체계를 갖춘는 것이 무엇보다 중요합니다.