뉴스 : Dell WMS 취약점, 관리자 권한 탈취 후 심어지는 ‘JSP 웹쉘’

4월 3, 2026

Dell WMS 취약점: 관리자 권한 탈취 후 심어지는 ‘JSP 웹쉘’, 당신의 서버는 안전합니까?

Author: umvcass5

Published Date: April 3, 2026

최근 보안 위협은 단일 취약점 공격에서 벗어나, 하위 권한 탈취부터 최종 코드 실행까지 복수의 결함을 연결하는 ‘공격 체인(Attack Chain)’ 방식으로 진화하고 있습니다. 2026년 3월 23일 발표된 델(Dell)의 씬 클라이언트 관리 소프트웨어, ‘와이즈 매니지먼트 스위트(WMS)’의 보안 사고는 이러한 연쇄 공격의 위험성을 극명하게 보여줍니다.

본 포스팅에서는 해당 공격의 기술적 메커니즘을 분석하고, 공격의 최종 단계에서 발생하는 웹쉘 위협에 대한 실질적인 대응 방안을 제시합니다.

1. 사건 개요: 델(Dell) WMS에서 발견된 치명적 취약점

보안 전문 기업 ‘피티 시큐리티(PT Security)’의 발표에 따르면, WMS에서 권한 상승 및 원격 코드 실행(RCE)이 가능한 취약점 2종이 발견되었습니다.

CVE-2026-22765 (CVSS 8.8): 낮은 권한의 사용자가 최고 관리자 권한을 탈취하는 권한 상승 결함.
CVE-2026-22766 (CVSS 7.2): 관리자 권한을 이용해 악성코드를 실행하는 원격 코드 실행(RCE) 결함.

Dell은 이미 지난 2월 말, 해당 결함을 해결한 WMS 5.5 버전을 출시했으나, 아직 업데이트를 진행하지 않은 관리자들은 여전히 위험에 노출되어 있습니다.

2. 공격 시나리오: 어떻게 시스템을 장악하는가?

공격자는 매우 치밀한 단계별 접근을 통해 방어 체계를 무력화합니다.

Dell WMS 취약점 공격 체인 단계별 분석

초기 침투: API 논리적 허점을 이용해 가짜 장치를 등록하고 내부망 교두보 확보.
권한 탈취: AD(Active Directory) 경로를 악용해 관리자급 계정 생성 및 시스템 장악.
최종 공격: 톰캣(Tomcat) 웹 루트 디렉터리 설정을 변경한 뒤, **’JSP 웹쉘’**을 업로드하여 원격 명령 실행.

3. 전략적 대응: 웹쉘 탐지 솔루션

이번 사고에서 주목해야 할 핵심은 공격자가 관리자 권한을 얻은 뒤 수행한 최종 동작입니다. 시스템을 완전히 장악하고 원격으로 조종하기 위해 공격자가 선택한 도구는 결국 웹쉘(Webshell)이었습니다.

소프트웨어의 취약점(CVE)은 언제든 새롭게 발견될 수 있습니다. 관리자가 모든 패치를 실시간으로 적용하기 어려운 틈을 타 공격자는 침투에 성공합니다. 하지만 침투에 성공했더라도 최종 단계에서 웹쉘이 실행되지 않도록 차단할 수 있다면 어떨까요?

WSS(Web Server Safeguard)의 차별점

웹 루트 디렉터리 실시간 감시: 공격자가 관리자 권한을 탈취하여 톰캣 디렉터리 설정을 변경하고 웹쉘을 업로드하는 순간, WSS는 이를 실시간으로 감지합니다.
비정상 파일 생성 차단: CVE-2026-22766과 같은 취약점을 통해 유입되는 악성 JSP 파일을 즉각 격리하여 공격 체인의 최종 단계인 ‘명령 실행’을 원천 봉쇄합니다.
지속적 가시성 제공: 단순한 파일 검사를 넘어, 웹 서버 내에서 발생하는 비정상적인 행위를 분석하여 관리자에게 즉각적인 경보를 송출합니다.

4. 대응 방안 및 결론

즉시 업데이트: Dell WMS를 사용 중인 기업은 즉시 5.5 버전 이상으로 업데이트해야 합니다.
계층적 방어 체계 구축: 패치 관리뿐만 아니라, 침투 이후의 동작을 감시하는 웹쉘 전용 탐지 솔루션(WSS) 도입이 필수적입니다.

사소한 결함의 연결고리를 끊는 가장 확실한 방법은 공격의 마지막 단계인 ‘웹쉘’을 무력화하는 것입니다. 귀사의 웹 서버는 최후의 공격으로부터 안전합니까?