WinRAR의 취약점 CVE-2025-8088이 버전 7.13에서 수정되었습니다.
파일 아카이빙 소프트웨어인 WinRAR에서 Windows PC에 백도어 악성 코드를 설치할 수 있는 새로운 취약점이 발견되었습니다. 해당 제로데이 취약점은 ESET의 보안 연구원들이 발견했으며, CVE-2025-8088로 추적되고 있으며, 러시아 연계 해킹 그룹인 RomCom에 의해 현재 활발하게 악용되고 있는 것으로 알려졌습니다.
이 취약점은 디렉터리 순회(directory traversal) 결함으로 분류됩니다. 이 결함을 통해 악성 아카이브는 공격자가 지정한 임의의 위치에 파일을 배치할 수 있게 합니다. 이를 악용할 경우, 공격자들은 다음과 같은 Windows 시작 폴더와 같은 자동 실행 디렉터리에 실행 가능한 파일을 배치할 수 있습니다.
%APPDATA%\ Microsoft \Windows\Start Menu\Programs\Startup (사용자별)
타겟 공격에 사용된 Notepad++ 업데이트 서버
%ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp (시스템 전체)
이렇게 배치된 악성 파일은 시스템이 재부팅될 때 자동으로 실행되도록 하여, 공격자들에게 원격 코드 실행(remote code execution) 경로를 제공합니다. ESET의 Anton Cherepanov, Peter Košinár, Peter Strýček는 Bleeping Computer과의 인터뷰에서, RomCom의 백도어를 전송하는 RAR 파일 첨부 파일이 포함된 스피어 피싱(spearphishing) 이메일을 포착했다고 밝혔습니다.
RomCom은 Storm-0978, Tropical Scorpius, Void Rabisu, 또는 UNC2596과 같은 별명으로 알려진 러시아 연계 사이버범죄 및 사이버 스파이 조직입니다. 2022년 중반경에 출현한 RomCom은 주로 정부, 군사, 에너지, 물 인프라 등 우크라이나 내 단체들을 주요 표적으로 삼았습니다. 현재는 그 범위를 확대하여 우크라이나 관련 인도적 지원 활동과 연결된 미국, 유럽 및 국제적인 기관과 대상을 겨냥하고 있습니다.
취약점 인지 및 패치됨 - 수동 업데이트 필요
해당 취약점은 WinRAR 버전 7.13의 새 업데이트를 통해 인지되고 수정되었습니다. 릴리스 노트에 따르면, 이전 버전의 WinRAR, RAR, UnRAR, 휴대용 UnRAR 소스 코드, 그리고 UnRAR.dll을 이용해 파일을 추출할 때, 사용자가 지정한 경로 대신 특수하게 조작된 아카이브 내 정의 경로를 사용하도록 속일 수 있었습니다.
WinRAR은 자동 업데이트 기능을 제공하지 않으므로, 사용자들은 반드시 소프트웨어를 수동으로 업데이트할 것을 권장합니다. 다만, Unix 버전의 RAR, UnRAR, 휴대용 UnRAR 소스 코드, UnRAR 라이브러리, 그리고 Android용 RAR은 이 취약점으로부터 안전합니다.
유사한 디렉터리 순회 취약점은 지난 6월에 이미 적발된 바 있습니다. 당시 독립 보안 연구원 "whs3-detonator"가 Trend Micro의 제로데이 이니셔티브에 CVE-2025-6218을 보고한 사례였습니다. 이 고위험 취약점은 WinRAR이 아카이브 파일 경로를 처리하는 과정의 결함에서 발생했으며, 공격자들은 추출 경계를 우회하여 의도하지 않은 위치에 파일을 배치할 수 있는 악성 아카이브를 만들 수 있었습니다.
Tom's Hardware를 Google News에서 팔로우하여 최신 뉴스, 분석 및 리뷰를 피드에서 받아보세요. '팔로우' 버튼을 클릭하는 것을 잊지 마세요.