두 가지 높은 심각도의 ZIP 파싱 결함 패치는 7월부터 조용히 이용 가능했습니다.
7-Zip의 새로 발견된 두 가지 취약점은 사용자를 속여 악성 ZIP 아카이브를 열게 함으로써 공격자가 임의 코드를 실행할 수 있도록 할 가능성이 있습니다. 이 문제들은 트렌드 마이크로(Trend Micro)의 제로 데이 이니셔티브(ZDI)가 10월 7일에 보고했으며, 인기 오픈 소스 압축 도구의 다수 버전에서 영향을 미치고 있습니다. 다만, 이 취약점들은 이미 지난 7월에 비공개적으로 패치된 상태였습니다.
CVE-2025-11001 및 CVE-2025-11002로 추적되는 이 결함들은 7-Zip이 ZIP 파일 내 심볼릭 링크(symbolic links)를 파싱하는 방식에서 기인합니다. 본질적으로, 공격자가 조작한 아카이브는 의도된 추출 경로를 벗어나 시스템의 다른 위치에 파일을 작성할 수 있게 만듭니다. 이러한 동작이 연쇄될 경우, 이는 사용자 권한과 동일한 수준으로 전체 코드 실행까지 확대될 수 있으며, 이는 Windows 환경을 손상시키기에 충분합니다. 두 취약점 모두 CVSS 기본 점수 7.0을 가집니다.
ZDI에 따르면, 취약점 악용을 위해서는 사용자 상호작용이 요구되지만, 이 진입 장벽은 매우 낮습니다. 악성 아카이브를 단순히 열거나 추출하는 것만으로도 충분합니다. 이후 심링크 탐색(symlink traversal) 취약점을 이용해 시스템의 민감한 경로에 페이로드를 덮어쓰거나 삽입할 수 있어, 공격자가 시스템의 실행 흐름을 탈취하는 것이 가능합니다. ZDI는 두 취약점 모두 서비스 계정 환경에서 발생하는 디렉터리 탐색을 통한 원격 코드 실행으로 분류했습니다.
(비공식 7-zip.com 웹사이트에서 일주일 이상 악성 코드가 포함된 다운로드 파일이 유포되며, 감염된 PC가 프록시 봇넷에 강제 연결된 사례가 보고되었습니다.)
7-Zip의 개발자인 이고르 파블로프(Igor Pavlov)는 지난 7월 5일 버전 25.00을 출시하며 해당 취약점과 더불어 RAR 및 COM 아카이브 처리와 관련된 여러 사소한 문제들을 패치했습니다. 이후 현재 안정 빌드인 25.01 버전이 8월에 출시되었습니다. 그러나 보안 세부 정보가 대중에게 공식적으로 공개된 것은 ZDI가 이번 주에 권고문제를 발표하면서부터입니다. 이는 지난 초여름 이후 업데이트하지 않은 사용자들이 자신들이 위험에 노출되어 있다는 사실을 인지하지 못한 채 몇 달 동안 방치되었다는 의미입니다.
자동 업데이트 메커니즘의 부재는 이러한 문제를 더욱 심각하게 만듭니다. 7-Zip은 수동 업데이트가 필요하며, 많은 사용자들이 오래된 포터블 버전에 의존합니다. 또한, 기업 환경에서도 Windows Installer나 중앙 저장소를 통해 설치된 경우를 제외하고는 패치 관리 시스템의 통제권을 벗어나기 쉽다는 문제도 있습니다.
한편, 올해 초에는 CVE-2025-0411 취약점이 큰 이슈가 되었는데, 이는 공격자가 악성 ZIP을 중첩하여 Windows의 '웹에서 가져온 파일' 보호 기능(Mark-of-the-Web protections)을 우회하고 다운로드된 파일에서 '인터넷에서 가져옴' 경고 플래그를 효과적으로 제거할 수 있게 했기 때문입니다. 이 결함은 버전 24.09에서 수정된 바 있습니다.
안전한 보호를 위해서는 7-Zip 버전 25.01 이상을 반드시 프로젝트의 공식 웹사이트에서 직접 다운로드하여 업데이트해야 합니다. 설치 프로그램은 기존 설정을 변경하지 않으면서 시스템을 업그레이드해 줄 것입니다. 업데이트를 완료하기 전까지는 출처가 확인되지 않은 곳의 아카이브 파일은 추출하는 것을 피하는 것이 좋습니다.
최신 뉴스, 분석, 리뷰를 받으시려면 Google News에서 Tom's Hardware를 팔로우하거나 즐겨찾는 출처로 추가해 주십시오.