CISA, WinRAR 취약점 적극 악용 확인

CISA, WinRAR 취약점 적극 악용 확인

미국 사이버보안·인프라보안국(CISA)이 파일 압축 프로그램 WinRAR에서 발견된 보안 취약점 CVE-2025-6218을 실제 공격에 악용 중인 취약점으로 판단해 KEV(Known Exploited Vulnerabilities) 목록에 추가했다.

CISA는 해당 취약점이 이미 다수의 국가 연계 공격 그룹에 의해 사용되고 있다며, 연방기관뿐 아니라 모든 조직이 즉각적인 패치를 적용해야 한다고 경고했다.

핵심 요약
• WinRAR 경로 이동 취약점(CVE-2025-6218) 실제 악용 확인
• 남아시아·러시아 APT 동시 활용
• 사용자 단 한 번의 파일 열기만으로 감염 가능
• 2025년 12월 30일까지 패치 권고·의무화

1️⃣ CVE-2025-6218 취약점 개요

CVE-2025-6218은 윈도우 환경에서 동작하는 WinRAR의 경로 이동(path traversal) 취약점이다. 공격자가 조작된 RAR 압축 파일을 열도록 유도하면, 파일이 정상적인 압축 해제 경로를 벗어나 시스템의 임의 위치에 생성될 수 있다.

특히 윈도우 시작프로그램 폴더와 같은 경로에 파일이 배치될 경우, 사용자가 다음에 로그인할 때 자동 실행이 발생해 공격자가 원하는 코드가 실행된다.

2️⃣ 비터(Bitter) APT, Word 템플릿 변조로 은밀한 지속성 확보

남아시아 지역을 주요 활동 무대로 삼는 비터(Bitter·APT-C-08) 조직은 해당 취약점을 이용해 정부·공공기관을 겨냥한 스피어피싱 공격을 수행했다.

공격자는 RAR 압축 파일 내부에 워드 문서와 함께 악성 템플릿 파일을 포함시켰고, 이를 통해 MS 워드의 글로벌 템플릿인 Normal.dotm을 교체했다.

이 방식은 워드를 실행하는 것만으로 악성 매크로가 자동 실행되는 구조를 만들어, 매우 은밀하면서도 강력한 지속성을 제공한다.

3️⃣ 러시아계 가마레돈, 파괴형 공격으로 확장

러시아 정보기관 연계 조직으로 알려진 가마레돈(Gamaredon) 역시 CVE-2025-6218을 활용해 우크라이나 군·정부 기관을 공격했다.

이들은 프테라노돈(Pteranodon) 악성코드를 설치하는 데 그치지 않고, 또 다른 WinRAR 취약점(CVE-2025-8088)을 함께 사용해 가마와이퍼(GamaWiper)라는 파괴형 악성코드까지 배포했다.

이는 기존의 첩보 수집 중심 공격을 넘어, 실제 시스템 파괴를 목표로 한 공격 단계로의 전환을 의미한다는 점에서 보안업계의 우려를 키우고 있다.

4️⃣ “단순 취약점 + 사회공학”의 위험성

전문가들은 이번 사안을 “기술적으로 단순한 취약점이지만, 사용자 행동을 유도하면 공격 성공률이 매우 높은 사례”로 평가한다.

WinRAR은 개인 사용자부터 기업·기관까지 광범위하게 사용되는 도구이며, 업데이트가 지연된 환경이 많아 공격자 입장에서 매우 매력적인 표적이 된다.

5️⃣ CISA “12월 30일까지 패치”…한국도 동일 위협 대비 필요

CISA는 미국 연방기관에 대해 2025년 12월 30일까지 해당 취약점 패치를 완료하도록 의무화했다.

보안 전문가들은 “이미 남아시아, 동유럽, 우크라이나 등에서 국가·공공기관을 노린 공격이 확인된 만큼, 한국 역시 동일한 공격 시나리오를 전제로 대비해야 한다”고 조언한다.

권고 사항
• WinRAR 최신 버전(7.12 이상) 즉시 업데이트
• 이메일 첨부 압축 파일 보안 점검 강화
• 사용자 대상 압축 파일 실행 주의 교육
• 시작프로그램·템플릿 파일 변경 여부 점검