PostgreSQL 취약점 BeyondTrust 제로데이 미국 재무부 공격

안녕하세요. No1. IT 솔루션 전문 기업 인스피언(주)입니다. 2025년 1월, PostgreSQL(포스트그레 SQL)에서 CVE-2025-1094라는 신규 보안 취약점이 발견되었습니다. 이 취약점은 BeyondTrust의 Privileged Remote Access(PRA) 및 Remote Support(RS) 제품의 제로데이 취약점과 함께 악용되었으며, 미국 재무부 해킹 사건에도 활용된 정황이 밝혀져 보안 업계에서 심각한 위협으로 주목받고 있습니다. PostgreSQL 취약점 CVE-2025-1094의 주요 내용과 보안 패치 및 대응 방안에 대해 자세히 살펴보겠습니다.

PostgreSQL 취약점 CVE-2025-1094

 

PostgreSQL은 오픈소스 관계형 데이터베이스 관리 시스템(RDBMS)으로, 데이터 저장, 관리, 검색, 업데이트 등 다양한 기능을 제공합니다. 높은 안정성과 확장성 덕분에 기업, 기관, 개발자들이 널리 사용하고 있으며 MAC OS 서버는 기본 DB로 PostgreSQL을 설정할 정도로 인기가 높습니다. 또한 Windows 및 Linux 환경에서도 활발하게 활용되고 있습니다. 전 세계적으로 널리 사용되고 있기에 보안 패치 적용이 늦어질 경우 심각한 보안 위협에 노출될 가능성이 큽니다.

이번 PostgreSQL에서 발견된 CVE-2025-1094 취약점은 CVSS* 점수 8.1점으로 PostgreSQL의 문자열 이스케이프 처리 과정에서 발생하는 입력 검증 오류로 인해 발생합니다. 유효하지 않은 UTF-8 문자가 PSQL에서 처리될 때, 공격자가 이를 악용해 악성 SQL 명령어를 주입할 수 있음을 발견했으며, 이를 통해 PSQL의 메타 명령어 기능을 이용하여 운영체제 셸 명령어를 직접 실행, 임의 코드 실행이 가능해집니다.

*CVSS 점수: 공통 취약점 등급 시스템(Common Vulnerability Scoring System)을 의미. 0부터 10까지 취약점의 심각도를 파악하는 표준화된 방법으로, CVSS 점수를 통해 즉시 개선이 필요한 취약점의 우선순위를 결정함

BeyondTrust 제로데이 미국 재무부 공격

CVE-2025-1094 취약점은 BeyondTrust의 Privileged Remote Access(PRA) 및 Remote Support(RS) 제품의 제로데이 취약점과 함께 악용되었습니다. 공격자들은 CVE-2024-12356 및 CVE-2024-12686두 개의 제로데이 취약점을 익스플로잇한 것으로 밝혀졌습니다. 특히 올해 1월 초 미국 재무부에서 침해된 사이버 공격은 사용하던 BeyondTrust 인스턴스를 통해 공격이 시작된 것으로 분석되었습니다.

처음에는 별개로 보였던 두 사건이 중국 해킹 그룹 설트 타이푼의 소행(Salt T)으로 연결되면서 조직적인 공격이었음이 드러났습니다. CVE-2024-12356을 익스플로잇하려면 먼저 CVE-2025-1094를 공략해야 했기 때문에 공격자들은 이미 해당 취약점을 사전에 인지하고 있었을 가능성이 높습니다.

이번 사례는 중국 해커들이 보유한 알려지지 않은 제로데이 취약점이 더 존재할 가능성을 시사하며, 보안 취약점이 서로 연결되어 체계적인 공격에 활용될 수 있다는 점을 다시 한번 상기시킵니다. 이에 따라 단일 취약점 패치만으로는 충분하지 않으며, 복합적인 보안 평가와 다층 방어 전략이 필수적임을 강조하는 사례입니다.

📌참고기사: 데일리시큐 https://www.dailysecu.com/news/articleView.html?idxno=163737

📌보안뉴스 https://www.boannews.com/media/view.asp?idx=135975&direct=mobile

PostgreSQL 취약점 업데이트

사용중인 PostgreSQL 버전을 확인하여 영향받는 버전을 파악하고 적절한 조치를 취할 수 있습니다. 명령 프롬포트(CMD, 터미널)에서 다음 명령어를 실행하면 현재 사용중인 PostgreSQL 버전을 확인할 수 있습니다.

• CLI 명령어: psql --version

• SQL 구문 활용: SELECT version(); 또는 SHOW server_version;

PostgreSQL 보안팀은 CVE-2025-1094 취약점을 해결하기 위해 PostgreSQL17.3, 16.7, 15.11, 14.16, 13.19 버전을 배포했습니다. 취약점의 영향을 받는 버전을 사용 중인 사용자는 즉시 최신 버전으로 업데이트할 것을 권고했습니다. 업데이트를 통해 유효하지 않은 UTF-8 문자의 처리를 수정하고 문자열 이스케이프 루틴의 보안을 강화할 수 있습니다. 업데이트 방법은 간단히 PostgreSQL을 종료하고 바이너리를 업데이트하면 됩니다. 다만 하나 이상의 업데이트 릴리스를 건너뛴 사용자는 추가적인 업데이트 후 단계를 실행해야 할 수도 있기에 이전 버전의 릴리스 노트를 참고해야 합니다.

📌최신 버전 업데이트 https://www.postgresql.org/support/security/CVE-2025-1094/

PostgreSQL: CVE-2025-1094: PostgreSQL quoting APIs miss neutralizing quoting syntax in text that fails encoding validation

 

📌릴리스 노트 https://www.postgresql.org/docs/release/

PostgreSQL: Release Notes

 

인스피언 BizInsider SIEM의 특장점

인스피언의 통합보안관리 솔루션 BizInsider SIEM은 보안콘텐츠 제공(CTI)를 통해 다양한 최신 보안 위협 지표를 반영한 콘텐츠 업데이트를 제공하며, KISA C-TAS 위협 IP와 고객사 TI 정보 연동으로 보안 위협을 탐지하는 기능을 제공합니다.

보안 위협 모니터링 대시보드를 통해 탐지 현황과 위험도 요약 정보를 실시간으로 학인할 수 있으며, 탐지된 보안 이벤트의 타임라인 분석, 자산 영향도 분석, 위협 추적 기능을 제공합니다.

보안 위협 탐지 룰 설정 시 Blockly 방식을 도입하여 사용자가 시나리오 분석 룰을 간단하게 설정할 수 있습니다. 소명 기능을 통해 정탐/오탐/과탐의 명확한 판단 기준을 설정할 수 있으며 단순 반복 작업을 최소화할 수 있습니다.

인시던트 분석 화면을 통해 탐지된 인시던트의 상세 정보를 제공하며, 분석 쿼리 모니터링 화면에서는 설정된 쿼리에 따라 발생하는 인시던트를 추적하고 상세 내용을 확인할 수 있는 기능을 제공합니다. 상관분석 룰 시뮬레이션(테스트) 기능을 통해 운영망 반영 전 상관분석 룰의 정탐, 오탐, 정상 설정 여부를 검증할 수 있어 안정적이고 효율적인 룰 관리를 지원합니다.

인스피언(주) 솔루션 제품은 조달청 온라인 몰에서 구매하실 수 있으며, 솔루션에 대해 더욱 자세한 설명이 필요하시다면 아래 홈페이지 혹은 카카오톡 채널을 통해 문의해 주세요!