핵심 요약
미국 사이버보안인프라보안국(CISA)이 4월 24일 SimpleHelp Path Traversal 취약점을 Known Exploited Vulnerabilities(KEV) 카탈로그에 등재했다. 미국 연방기관은 BOD 22-01에 따라 2026-05-08까지 패치 또는 사용 중단이 의무화된다.
- 등재일: 2026-04-24
- 대상: SimpleHelp 원격지원 소프트웨어 (다수 버전)
- 취약점 유형: Path Traversal (CWE-22)
- 이용 사실 확인: 능동적 익스플로잇 보고 다수
- 대응 기한: 2026-05-08 (BOD 22-01 적용)
SimpleHelp란
SimpleHelp는 IT 부서·MSP·헬프데스크에서 자주 쓰는 원격지원 도구다. 사용자가 별도 클라이언트 설치 없이 일회용 링크로 화면 공유·파일 전송이 가능하다는 점이 강점이다. 글로벌 사용 기관 5만 곳 이상으로 추정된다.
이 취약점이 무서운 이유
1) "원격지원" 도구의 특성
SimpleHelp는 본질적으로 원격에서 시스템에 접근하는 도구다. 인증 우회를 동반한 path traversal은 곧 시스템 전체 장악 경로다.
2) 익스플로잇이 단순
이미 외부에 PoC가 공개됐다. URL 경로의 ../ 시퀀스를 활용해 인증 절차 외부의 파일을 읽거나 덮어쓸 수 있다.
3) MSP·헬프데스크에서 사용
한 SimpleHelp 인스턴스가 수백~수천 고객사를 동시에 지원한다. 한 곳이 뚫리면 다중 피해로 번진다(공급망 형태의 침해).
CISA KEV 카탈로그란
CISA가 운영하는 "실제 공격에 활용된 적 있는 취약점" 목록이다. 등재 조건은 다음 중 하나.
- 능동적 익스플로잇 사례 확인
- 공급망 침해·랜섬웨어와 결합 사용 보고
- 심각한 영향이 예상되는 PoC 확산
등재되면 BOD 22-01에 따라 미국 연방기관은 명시된 기한 내 패치·완화·사용 중단을 의무 수행한다.
같은 주 등재된 다른 KEV (4월 21~25일)
| 등재일 | 제품 | 유형 | 마감 |
|---|---|---|---|
| 04-21 | WhatsUp Gold | Authentication Bypass | 05-05 |
| 04-22 | Zyxel Firewall | OS Command Injection | 05-06 |
| 04-23 | Marimo Notebook | Remote Code Execution | 05-07 |
| 04-24 | SimpleHelp | Path Traversal | 05-08 |
이 취약점이 한국 기업에 주는 메시지
한국 다수 IT MSP·SI·정부 산하기관이 SimpleHelp를 운영 중이다. KISA의 별도 공지가 없더라도 다음과 같은 즉각 조치를 권고한다.
- SimpleHelp 서버 버전 확인 — 최신 패치 5.6.5 이상으로 업그레이드
- 외부 노출 인스턴스는 즉시 VPN·WAF 뒤로 이동
- 최근 30일 SimpleHelp 세션 로그 점검 — 비정상 path 접근 흔적
- 고객사 통보 — MSP라면 영향 범위 즉각 공유
패치 검증 방법
# 1) 버전 확인
curl -k https://<simplehelp-server>/api/v1/version
# 2) Path traversal 시도 (방어 검증)
curl -k "https://<simplehelp-server>/files/../../etc/passwd"
# 정상 응답이라면 패치되지 않은 것 — 즉시 격리대안 검토
- RustDesk — 오픈소스, 자체 호스팅 가능
- MeshCentral — Microsoft 메인테이너 보유
- RemoteRay — 한국 SaaS 대안
- TeamViewer Tensor — 엔터프라이즈 SLA 강함
SimpleHelp 측 대응
SimpleHelp는 4월 14일 패치 5.6.5를 발표했고, 4월 24일 CISA 등재 직후 추가 보안 가이드 문서를 공개했다. 다음 항목이 포함된다.
- 외부 접근은 reverse proxy·WAF 통과 권장
- 관리자 콘솔은 IP allowlist 적용
- 모든 세션 로그 90일 이상 보관 권고
BOD 22-01의 의미
한국 기업은 BOD 22-01의 직접 의무 대상이 아니지만, 미국 정부와 거래하는 SI·SaaS·클라우드 공급사라면 사실상 동일 기준이 계약 조건으로 명시되는 추세다. SOC2·FedRAMP 인증 유지를 위해서도 KEV 카탈로그 대응은 표준 절차가 됐다.
자주 묻는 질문
패치만 하면 안전한가?
패치는 필수이지만, 이미 침투된 흔적이 있다면 별도 IR(Incident Response)이 필요하다. 30일 로그를 우선 점검하라.
외부에 노출되지 않은 인스턴스도 패치해야 하나?
그렇다. 내부 망 측면 이동(lateral movement) 시 path traversal은 권한 상승의 한 단계로 사용된다.
한국 KISA의 별도 권고는 있나?
4월 25일 시점 별도 공지는 없으나, 실질적 위험을 고려할 때 권고를 기다리지 말고 자체 점검·패치가 합리적.
댓글 0