CVE-2025-6218 - WinRAR 경로 이동 취약점

WinRAR 경로 이동 취약점 CVE-2025-6218

CVE-2025-6218은 윈도우 환경에서 동작하는 WinRAR에서 발생한 경로 이동(Path Traversal) 취약점이다. 공격자가 조작된 RAR 압축 파일을 열도록 유도하면, 파일이 의도된 압축 해제 경로를 벗어나 시스템의 임의 위치에 생성될 수 있다.

이 취약점은 실제 공격에 활용된 사실이 확인돼 미국 CISA의 KEV 목록에 등재됐으며, 국가 연계 APT 공격에서도 적극적으로 악용됐다.

핵심 위험 요약
• 사용자 파일 열기만으로 공격 가능
• 시스템 임의 경로 파일 생성 가능
• 시작프로그램 악용 시 자동 실행 발생
• 실제 APT 공격에 악용 확인

1️⃣ 장애 개요

항목	내용
CVE	CVE-2025-6218
제품	WinRAR (Windows)
취약점 유형	Path Traversal
공격 조건	사용자가 악성 RAR 파일 열람
영향	임의 파일 생성 및 코드 실행
패치 버전	WinRAR 7.12 이상

2️⃣ 원인 분석

취약점의 원인은 WinRAR이 압축 해제 시 파일 경로에 포함된 상대 경로(../)를 충분히 검증하지 않는 데 있다.

원인 정리
• 압축 파일 내부 경로 정규화 미흡
• 상위 디렉터리 이동 문자열 차단 실패
• 사용자 권한으로 임의 위치 파일 생성 가능

3️⃣ 공격 시나리오

① 공격자가 경로 이동 문자열 포함 RAR 생성
② 피싱 이메일 등으로 대상에게 전달
③ 사용자가 압축 파일 열기
④ 파일이 시작프로그램 등 민감 경로에 생성
⑤ 다음 로그인 시 악성 코드 자동 실행

공격 성공을 위해 관리자 권한은 필요하지 않으며, 사회공학 기법과 결합될 경우 감염 가능성이 크게 높아진다.

4️⃣ 영향 범위

영향 가능 영역
• 사용자 로그인 환경 지속성 확보
• 악성 코드 자동 실행 구조 형성
• 내부 정보 탈취 및 추가 공격 확산
• APT 침투 초기 진입 지점으로 활용

5️⃣ 즉시 조치 및 복구 절차

즉각 조치 사항
• WinRAR 7.12 이상으로 업데이트
• 의심 RAR 파일 열람 이력 점검
• 시작프로그램 폴더 무단 파일 확인
• 사용자 대상 압축 파일 보안 인식 강화

6️⃣ 7️⃣ 기본 오류 대응 4단계

① 탐지
시작프로그램·사용자 디렉터리 비정상 파일 점검

② 차단
의심 파일 격리 및 실행 차단

③ 조치
WinRAR 패치 적용, 악성 파일 제거

④ 사후관리
이메일 보안 정책 강화 및 사용자 교육

7️⃣ 결론

CVE-2025-6218은 기술적으로 단순하지만, 실제 공격에서 매우 효과적으로 사용된 취약점이다. 광범위한 사용률을 가진 WinRAR 특성상 패치 지연은 조직 전체를 위험에 노출시킬 수 있으며, 즉각적인 업데이트와 사용자 행위 기반 통제가 필수적이다.