CVE-2026-12569 악용 활발… 웹쉘을 이용한 지속적 침해 위협 증가
핵심 요약
- CISA가 CVE-2026-12569를 KEV(Known Exploited Vulnerabilities) 목록에 추가
- PTC Windchill PDMlink 및 FlexPLM 제품 대상 원격 코드 실행(RCE) 취약점
- 공격자들은 취약 시스템에 JSP 웹쉘(Web Shell)을 설치해 지속적인 접근 권한 확보
- 취약점 공개 직후 실제 공격이 확인되며 빠른 무기화(Weaponization) 진행
- PTC는 IoC와 대응 방안을 공개하며 즉각적인 패치 적용 권고
- 웹 서버를 노린 웹쉘 공격이 지속 증가하면서 실시간 탐지 기술의 중요성 확대
CISA, PTC Windchill 취약점을 KEV 목록에 추가
미국 사이버보안 및 인프라 보안국(CISA)은 PTC Windchill PDMlink 및 PTC FlexPLM에 영향을 미치는 CVE-2026-12569를 Known Exploited Vulnerabilities(KEV) 목록에 추가했습니다.
이번 취약점은 CVSS 9.3의 심각도를 가진 원격 코드 실행(Remote Code Execution, RCE) 취약점으로, 입력값 검증 미흡과 신뢰할 수 없는 데이터의 역직렬화(Deserialization) 과정에서 발생합니다.
공격자는 악성 요청만으로 서버에서 임의의 코드를 실행할 수 있으며, 실제 공격이 확인되면서 기업들의 신속한 대응이 요구되고 있습니다.
JSP 웹쉘을 이용한 지속적 침해 시도
PTC는 보안 패치를 배포한 이후에도 취약점을 악용한 공격이 지속적으로 발생하고 있다고 밝혔습니다.
특히 공격자들은 취약한 서버에 JSP 웹쉘(Web Shell)을 업로드하여 장기간 접근 권한을 유지하려는 공격을 수행하고 있습니다.
확인된 웹쉘은 다음과 같은 형식의 파일명을 사용하는 것으로 알려졌습니다.
/Windchill/login/[0-9a-f]{16}.jsp
웹쉘이 설치되면 공격자는 원격 명령 실행, 추가 악성코드 배포, 내부망 이동(Lateral Movement), 데이터 탈취 등 다양한 후속 공격을 수행할 수 있습니다.
웹쉘이 여전히 위험한 이유
웹쉘은 일반적인 악성코드와 달리 웹 애플리케이션 내부에서 정상 파일처럼 동작하는 경우가 많아 탐지가 쉽지 않습니다.
공격자는 웹쉘을 이용해 다음과 같은 행위를 수행할 수 있습니다.
- 지속적인 서버 접근 권한 유지
- 원격 명령 실행
- 추가 악성코드 설치
- 민감 정보 탈취
- 내부 시스템 확산
- 기존 보안 솔루션 우회
특히 JSP 기반 웹쉘은 기업 웹 서버에서 오랜 기간 은닉될 수 있어 조기 탐지가 무엇보다 중요합니다.
PTC 및 CISA 권고 사항
PTC와 CISA는 영향을 받는 조직에 다음과 같은 대응을 권고하고 있습니다.
- 최신 보안 패치 즉시 적용
- 알려진 악성 IP 차단
- 의심스러운 JSP 파일 검색
- HTTP 접근 로그 점검
- IoC(침해 지표) 확인
- Windchill 로그인 엔드포인트의 인터넷 노출 최소화
- WAF 및 IDS 정책 적용
패치 적용과 함께 웹 서버 내부에 이미 웹쉘이 설치되어 있는지 확인하는 과정도 반드시 수행해야 합니다.
공격 흐름도

MITRE ATT&CK 매핑

WSS AI Insight: 알려지지 않은 웹쉘까지 실시간 탐지
이번 사례는 공격자들이 취약점 악용 이후 JSP 웹쉘을 설치하여 장기간 서버를 장악하는 방식을 지속적으로 활용하고 있음을 보여줍니다.
취약점 패치는 필수적인 대응이지만, 이미 설치된 웹쉘까지 제거해 주지는 않습니다.
이 때문에 AI 기반 웹쉘 탐지 솔루션은 기존 시그니처 기반 방식으로 탐지하기 어려운 신·변종 웹쉘과 비정상적인 웹 서버 행위를 실시간으로 분석하여 추가적인 보안 계층을 제공합니다.
WSS AI는 웹 서버의 이상 행위를 지속적으로 모니터링하고 웹쉘을 실시간으로 탐지·격리함으로써 기업이 침해 확산을 최소화할 수 있도록 지원합니다.
마무리
CVE-2026-12569가 CISA의 KEV 목록에 추가된 것은 공격자들이 신규 취약점을 얼마나 빠르게 실제 공격에 활용하는지를 보여주는 대표적인 사례입니다.
특히 JSP 웹쉘을 이용한 지속적 침해는 기업 웹 서버 보안에서 여전히 가장 큰 위협 중 하나입니다.
기업은 신속한 보안 패치 적용과 함께 웹 서버를 지속적으로 모니터링하고, 웹쉘을 실시간으로 탐지할 수 있는 보안 체계를 구축해야 변화하는 사이버 위협에 효과적으로 대응할 수 있습니다.
관련 위협 인텔리전스
- 해킹 이슈 : 루트 권한 탈취 가능한 신규 리눅스 취약점 발견
- 이번엔 골프장서 10만명 개인정보 유출… 北 해커 소행 가능성
- GitHub 원격 코드 실행 취약점
- Ivanti EPMM 취약점 악용, 지속적 접근을 위한 ‘슬리퍼 웹쉘’ 배포
- EncystPHP 웹쉘: 전 세계 900대 서버 장악
- 리눅스 서버 보안 비상: 쿠키로 조종하는 PHP 웹쉘 분석 (MS 보고서)
- Dell WMS 취약점, 관리자 권한 탈취 후 심어지는 ‘JSP 웹쉘’
- IIS 서버를 정조준한 ASP.NET 웹쉘의 위협 (UAT-8099 사례 분석)
- BeyondTrust 취약점을 악용한 웹쉘 및 백도어 유포, 데이터 유출 사고 분석
- 웹쉘과 내부 이동(Lateral Movement)
- Godzilla 웹쉘: 의료 산업을 위협하는 증가하는 사이버 위협
출처
News: CISA, PTC Windchill 취약점 KEV 등재… JSP 웹쉘 공격 확산에 기업 보안 비상
