Ivanti EPMM 취약점 악용, 지속적 접근을 위한 ‘슬리퍼 웹쉘’ 배포

1. Ivanti EPMM CVE-2026-1281 취약점 악용 개요

Ivanti Endpoint Manager Mobile(EPMM)에서 발견된 치명적인 취약점(CVE-2026-1281)이 공개된 이후, 이를 악용한 공격이 활발히 진행되고 있으며 대규모 공격 시도가 보고되고 있습니다.
보안 연구자들은 해당 취약점을 이용해 “슬리퍼 웹쉘(sleeper web shell)”을 배포하는 공격 캠페인을 확인했습니다. 이는 특정 조건에서만 활성화되는 악성 코드로, 공격자가 은밀하고 지속적인 접근 권한을 확보할 수 있도록 합니다.

2. CVE-2026-1281 기반 Ivanti EPMM 코드 인젝션 공격 방식

CVE-2026-1281은 Ivanti EPMM에 존재하는 인증 이전(pre-authentication) 코드 주입 취약점입니다. 이 취약점은 유효한 인증 정보 없이도 공격자가 악성 코드를 실행할 수 있도록 하여, 비인가 접근 위험을 크게 증가시킵니다. 해당 취약점은 CVE-2026-1340과 함께 공개되었으며, 미국 사이버보안 및 인프라 보안국(CISA)은 CVE-2026-1281을 악용 확인 취약점(Known Exploited Vulnerabilities) 목록에 즉시 추가하여 실제 공격이 이루어지고 있음을 확인했습니다.

3. Ivanti EPMM 슬리퍼 웹쉘 공격 체인 분석

GreyNoise와 Defused Cyber 연구진은 취약점 공개 이후 다양한 공격 패턴을 관찰했습니다.

한 공격에서는 /mifs/403.jsp 경로에 인메모리 Java 클래스 로더 형태의 슬리퍼 웹쉘이 배포되었습니다. 이 악성 코드들은 특정 트리거 파라미터가 입력될 때만 활성화되기 때문에 초기 침해 단계에서는 탐지가 어렵습니다.

또한 GreyNoise는 공격자가 DNS를 통해 “콜백(phone home)”을 수행하는 경량 페이로드를 사용해 대상 시스템의 취약 여부를 확인하는 사례도 확인했습니다. 이러한 페이로드는 즉시 악성코드를 설치하거나 데이터를 탈취하지 않고, 이후 공격을 위한 접근 가능 여부만 검증합니다.

이러한 방식은 초기 접근 브로커(initial access broker)의 전형적인 행위로, 향후 다른 공격자가 활용할 수 있도록 시스템을 준비하는 단계로 볼 수 있습니다.

4. 슬리퍼 웹쉘 기반 지속성 공격 위험성

CVE-2026-1281이 성공적으로 악용될 경우, 공격자는 시스템에 비인가 접근을 수행하고 장기적인 침해 상태를 유지하며 추가 악성 페이로드를 배포할 수 있습니다.

특히 슬리퍼 웹쉘은 활성화 전까지 탐지되지 않기 때문에 위험성이 더욱 높습니다. 이러한 지연 실행 방식은 기존의 즉각적인 공격 활동 탐지 중심 보안 체계를 우회할 수 있습니다.

이미 유럽 내 정부 관련 기관을 포함한 여러 조직이 피해를 입은 것으로 보고되었으며, 이는 패치가 적용되지 않은 시스템의 위험성을 보여줍니다.

5. Ivanti EPMM 웹쉘 공격 탐지 및 대응 방안

이번 사례는 공격자가 초기 접근을 확보한 후 실제 공격을 지연시키는 단계적 공격 기법이 증가하고 있음을 보여줍니다.

Ivanti EPMM을 사용하는 조직은 침해를 가정하고 철저한 포렌식 분석을 수행해야 합니다. 권장 대응 방안은 다음과 같습니다:

• 보안 패치 적용
• 애플리케이션 서버 재시작(인메모리 악성 코드 제거)
• 로그 분석을 통한 침해 지표 확인

이러한 상황에서는 활성 및 비활성 위협을 모두 탐지할 수 있는 고도화된 탐지 기술이 중요합니다. WSS와 같은 솔루션은 은밀하거나 지연 실행되는 웹쉘까지 포함하여 비정상적인 웹쉘 행위를 실시간으로 탐지하는 데 도움을 줄 수 있습니다.

6. 고도화되는 슬리퍼 웹쉘 공격 위협

CVE-2026-1281 취약점 악용 사례는 공격자들이 탐지를 최소화하면서 지속성을 확보하기 위해 전략을 고도화하고 있음을 보여줍니다. 슬리퍼 웹쉘 기법이 확산됨에 따라, 조직은 장기적인 보안 리스크를 줄이기 위해 선제적인 모니터링과 탐지 전략을 도입해야 합니다.

7. 추가 웹쉘 위협 사례 보기

• EncystPHP 웹쉘: 전 세계 900대 서버 장악
• 리눅스 서버 보안 비상: 쿠키로 조종하는 PHP 웹쉘 분석 (MS 보고서)
• Dell WMS 취약점, 관리자 권한 탈취 후 심어지는 ‘JSP 웹쉘’
• IIS 서버를 정조준한 ASP.NET 웹쉘의 위협 (UAT-8099 사례 분석)
• BeyondTrust 취약점을 악용한 웹쉘 및 백도어 유포, 데이터 유출 사고 분석
• 웹쉘과 내부 이동(Lateral Movement)
• Godzilla 웹쉘: 의료 산업을 위협하는 증가하는 사이버 위협
• China Chopper의 진화
• APT41 사이버 스파이 캠페인: 네트워크 침투의 핵심인 웹쉘

8. 출처

• 뉴스: Ivanti EPMM exploitation: Researchers warn of “sleeper” webshells
• 뉴스: Ivanti provides temporary patches for actively exploited EPMM zero-day (CVE-2026-1281)
• 뉴스: European Commission hit by cyberattackers targeting mobile management platform
• 분석 보고서: Someone Knows Bash Far Too Well, And We Love It (Ivanti EPMM Pre-Auth RCEs CVE-2026-1281 & CVE-2026-1340)