델(Dell) 제로데이 비상! 삼성·하이닉스 가상화 인프라 노리는 ‘조용한 침투’… CVE-2026-22769 심층 분석
전 세계 기업의 가상화 환경을 보호하는 Dell 솔루션에서 심각한 보안 결함이 발견되었습니다.
- Dell RecoverPoint for VMs에서 원격 코드 실행(RCE)이 가능한 제로데이 취약점(CVE-2026-22769) 발견.
- 중국 연계 해커 그룹 UNC3886이 2024년 중반부터 이미 이를 악용하여 조용히 침투 중이었음이 판명.
- 가상화 환경의 재해 복구(DR) 시스템을 타깃으로 삼아 탐지가 매우 어려운 고난도 공격 수행.
“재난을 대비한 ‘최후의 보루’인 백업 시스템이 해커의 뒷문이 된 최악의 역설입니다.”
글로벌 인프라의 거인, 델(Dell)이 자사의 가상화 재해 복구 솔루션인 ‘RecoverPoint for VMs’에서 발생한 치명적인 제로데이 취약점을 공식 발표했습니다. 더욱 충격적인 사실은 이 취약점이 이미 2년 가까이 해커들에 의해 비밀리에 악용되어 왔다는 점입니다. 이것은 단순한 기술적 오류가 아닙니다. 기업의 심장을 노리는 정교한 사이버 테러의 서막입니다.
1. CVE-2026-22769: 보이지 않는 경로의 위협
이번에 발견된 취약점은 ‘경로 탐색(Path Traversal)’ 결함으로 분류됩니다. 공격자는 특수하게 제작된 요청을 통해 인증 없이 시스템의 임의 파일에 접근하거나 악성 코드를 주입할 수 있습니다.
- 영향력: CVSS 점수 9.0 이상의 치명적 수준.
- 공격 벡터: 웹 기반 관리 인터페이스를 통한 원격 공격 가능.
- 잠복기: 2024년 6월부터 실제 공격 사례가 관찰됨.
2. 배후세력 UNC3886: 왜 그들은 VM을 노리는가?
보안 전문가들은 이번 공격의 배후로 중국 연계 위협 그룹인 UNC3886을 지목하고 있습니다. 이들은 전형적인 해킹과는 궤를 달리합니다. 일반적인 백신이나 보안 관제(EDR) 솔루션이 설치되지 않는 ‘가상화 관리 레이어’와 ‘스토리지 서버’만을 집요하게 공격합니다.
특히 삼성전자나 SK하이닉스처럼 대규모 가상화 서버를 운영하는 제조 강국들에게 이들의 존재는 공포 그 자체입니다. 인프라의 가장 밑단에서 데이터를 훔쳐보기 때문에 침투 사실조차 인지하기 어렵기 때문입니다.
3. 긴급 대응 지침: 지금 당장 해야 할 일
소프트웨어 업데이트
Dell은 해당 취약점을 해결한 패치를 배포했습니다. 관련 인프라를 운영 중인 기업은 즉시 최신 버전(v5.3.x 이상)으로 업데이트해야 합니다.
로그 전수 조사
단순히 패치를 적용하는 것으로 끝나서는 안 됩니다. 2024년 중반부터 공격이 시작되었으므로, 지난 2년 간의 네트워크 로그와 시스템 접근 기록을 대조하여 이미 심어진 백도어가 있는지 확인해야 합니다.
대한민국의 핵심 산업인 반도체와 자동차(삼성, SK, 현대차)는 생산 라인의 가용성을 위해 Dell과 VMWare 기반의 가상화 인프라에 전적으로 의지하고 있습니다. 특히 RecoverPoint는 데이터 유실 시 시스템을 복구하는 핵심 장치입니다. 공격자가 복구 경로를 장악했다는 것은 기업의 데이터 생존권을 쥔 것과 같습니다.
국내 IT 서비스 기업(삼성SDS, LG CNS 등)과 데이터센터 운영사들은 이번 사태를 단순한 업데이트 이슈로 치부해서는 안 됩니다. 공급망 공격(Supply Chain Attack)의 타깃이 된 만큼, 외부 솔루션에 대한 ‘제로 트러스트’ 보안 체계를 강화해야 합니다. 또한, 안랩이나 파수와 같은 국내 보안 관련 기업들에게는 이러한 인프라 하단부 보안 솔루션 수요가 급증하는 전환점이 될 것입니다. 지금 이 순간에도 우리 기업의 백업 서버에서 데이터가 새나가고 있을 수 있다는 경각심이 필요합니다.
원문 출처: The Hacker News – Dell RecoverPoint for VMs Zero-Day Exploited