알고 계셨나요? Dell의 가상 머신 백업 솔루션에 하드코딩된 비밀번호가 숨어 있어, 단숨에 루트 권한을 탈취할 수 있는 심각한 보안 구멍으로 변했습니다! 바로 CVE-2026-22769로, Dell RecoverPoint for Virtual Machines에서 발견된 하드코딩된 자격증명(embedded credentials) 취약점입니다. 문제는 “설정 실수” 수준이 아니라, 제품 내부에 이미 고정된 인증 정보가 내장되어 있어 이를 아는 공격자에게 관리자/루트급 접근을 열어줄 수 있다는 점입니다.
CVE-2026-22769가 위험한 이유: “백업 인프라”가 곧 침투 통로가 된다
RecoverPoint for Virtual Machines는 VMware 환경에서 백업 및 재해 복구를 담당합니다. 즉, 일반 업무용 서버보다 더 넓은 권한과 더 많은 자산(스냅샷, 복제, 복구 기능)에 접근할 수 있는 위치에 놓이는 경우가 많습니다. 이런 구성에서 CVE-2026-22769가 악용되면 다음 시나리오가 현실화됩니다.
- 인증 없이 원격에서 접근 가능한 조건이 성립할 수 있음(네트워크 기반 공격 벡터)
- 내장된 하드코딩 자격증명으로 관리자 수준 권한 획득
- 결과적으로 기저 운영 체제까지 루트 수준 접근으로 확대
- 침투 후 지속성(persistence) 확보 및 내부망 확장(측면 이동) 발판으로 활용 가능
특히 “백업/복구 시스템”은 장애 대응을 위해 항상 가동되고, 내부 핵심 시스템과 연결되어 있는 경우가 많아 공격자 입장에서는 가성비가 매우 높은 목표가 됩니다. 한 번 뚫리면 프로그램 설치, 데이터 열람·변조·삭제, 신규 관리자 계정 생성 등 전형적인 후속 행위가 가능해집니다.
CVE-2026-22769 기술적 특성: 하드코딩 자격증명이 만드는 최악의 조합
이 취약점의 본질은 간단하지만 치명적입니다. 하드코딩된 자격증명은 운영자가 강력한 정책을 적용해도(복잡한 비밀번호, 주기적 변경 등) 제품 내부에 “변경 불가능한 문”이 남는 구조이기 때문입니다. 공격자가 그 정보를 확보하면 다음과 같은 조건이 맞물려 피해가 커집니다.
- 영향받는 버전: RecoverPoint for Virtual Machines 6.0.3.1 HF1 이전
- 공격 난이도: 네트워크 원격 기반이며, 사전 인증이 필요 없는 형태로 악용 가능
- 영향 범위: 애플라이언스 권한 탈취 → 운영체제 레벨 루트 권한까지 상승 가능
- 후폭풍: 루트 권한을 이용한 설정 변경 및 서비스 변조로 장기 잠복 가능
즉, “패치하지 않으면 누구든 들어올 수 있는 문이 남는다”는 점에서 CVSS 10(최고 심각도) 평가가 과장이 아닙니다.
CVE-2026-22769 악용 동향: 원데이지만 ‘이미 쓰이고 있다’
더 위협적인 부분은 이 이슈가 단순히 발표된 취약점이 아니라, 중국 연계 위협 행위자 UNC6201에 의해 2024년 중반부터 지속 악용 정황이 보고되었다는 점입니다. 보고에 따르면 공격자는 맞춤형 백도어(GRIMBOLT, BRICKSTORM) 배포, 측면 이동, 지속성 유지, 추가 악성코드 배포 등 전형적인 침투 후 활동을 수행했습니다. 초기 침투 경로가 모두 공개된 것은 아니지만, 과거에 인터넷 노출 애플리케이션(VPN 등)을 노린 전력이 언급된 만큼 “외부 노출 + 미패치” 환경은 특히 위험합니다.
CVE-2026-22769의 핵심 메시지: “백업이 공격자의 백도어가 되지 않게”
Dell은 영향받는 고객에게 6.0.3.1 HF1 이상으로 즉시 업그레이드할 것을 강력히 권고하고 있으며, CISA 역시 알려진 악용 취약점 카탈로그에 포함시켰습니다. 요약하면, CVE-2026-22769는 단순한 결함이 아니라 기업 핵심 인프라로 들어가는 지름길이 될 수 있는 취약점입니다. 백업 시스템이 안전망이 아니라 침투 거점으로 변하지 않도록, 지금 즉시 버전 점검과 패치 계획부터 확인해야 합니다.
CVE-2026-22769: 하드코딩 자격증명이란 무엇인가?
한 줄의 코드가 가져온 대참사, RecoverPoint 장치에 내장된 고정된 비밀번호가 어떻게 공격자에게 관리자 권한을 무방비로 내어주게 되었을까요?
하드코딩된 자격증명(hardcoded credentials)이란 프로그램(또는 어플라이언스 이미지) 안에 아이디/비밀번호, 토큰, 키 같은 인증 정보가 “고정값”으로 박혀 있는 상태를 말합니다. 운영자가 설정에서 변경하거나 폐기할 수 없거나, 변경하더라도 다른 경로로 동일한 비밀 값이 유지되는 경우가 많습니다. 문제는 이 값이 한 번 유출되면, 해당 제품을 사용하는 모든 환경이 동일한 방식으로 동시에 위험해진다는 점입니다.
하드코딩 자격증명이 왜 치명적인가
하드코딩 자격증명은 흔히 “편의 기능” 또는 “초기 설치 간소화”를 목적으로 들어가지만, 보안 관점에서는 제품 전체에 심어진 마스터 키에 가깝습니다. 특히 다음 이유로 위험도가 급격히 상승합니다.
- 공격 난이도가 낮아집니다. 취약점을 ‘개발’할 필요 없이, 자격증명만 알면 로그인이나 서비스 접근이 가능합니다.
- 방어가 어렵습니다. 일반적인 계정 탈취는 비밀번호 변경이나 MFA로 대응할 수 있지만, 하드코딩 값은 사용자가 통제할 수 없는 경우가 많습니다.
- 대규모로 악용됩니다. 동일 제품/버전이 깔린 조직은 전부 같은 “정답”을 공유하는 셈이라, 공격자 입장에서는 자동화하기 쉽습니다.
- 로그가 정상 로그인처럼 보일 수 있습니다. 자격증명으로 접근하면 침입 행위가 “인증 성공”으로 기록되어 탐지가 늦어질 수 있습니다.
CVE-2026-22769에서 하드코딩 자격증명이 의미하는 것
CVE-2026-22769는 Dell RecoverPoint for Virtual Machines 어플라이언스에 하드코딩된 자격증명이 내장되어, 이를 아는 비인증 원격 공격자가 네트워크를 통해 관리자(루트) 수준 접근을 얻을 수 있는 취약점으로 공개되었습니다. 즉 “취약한 로직을 우회”하는 유형이 아니라, 애초에 제품 내부에 존재하던 고정된 인증 수단이 공격 표면으로 노출된 형태입니다.
이 구조가 특히 위험한 이유는 RecoverPoint가 단순한 애플리케이션이 아니라 VMware 가상머신 백업/재해 복구를 관리하는 핵심 인프라에 위치하기 때문입니다. 공격자가 루트 수준 권한을 확보하면 다음과 같은 시나리오가 현실화됩니다.
- 기저 운영 체제(OS) 및 관리 영역에 대한 무단 접근
- 백도어 설치 등 지속성 확보
- 내부망으로의 측면 이동(lateral movement) 발판 확보
- 데이터 열람/변조/삭제, 신규 관리자 생성 등 사후 통제권 장악
“원데이(제로데이급)”로 평가되는 이유
CVE-2026-22769는 최고 심각도(CVSS 10)로 분류되며, 실제로는 “복잡한 익스플로잇 체인”보다 하드코딩 자격증명이라는 구조적 결함이 핵심입니다. 이런 유형은 공격에 필요한 조건(인증, 사용자 상호작용 등)이 적고, 네트워크로 바로 시도될 수 있어 노출된 장비가 있는 순간 곧바로 침해로 연결될 가능성이 큽니다.
결론적으로, 하드코딩 자격증명은 “비밀번호 하나”가 아니라 제품 신뢰 모델 자체를 붕괴시키는 설계 결함이며, CVE-2026-22769는 그 위험을 가장 극단적으로 보여주는 사례입니다.
악용 세력 UNC6201과 CVE-2026-22769: 중국 기반 해킹 조직의 은밀한 움직임
기술력과 은밀함을 겸비한 사이버 위협 행위자 UNC6201은 이 취약점을 어떻게 이용해 기업들의 핵심 인프라를 장악해 왔을까요? 핵심은 단순한 “침투”가 아니라, 재해 복구(Recovery) 인프라라는 고가치 지점을 발판으로 삼아 장기 거점을 만들었다는 데 있습니다. 특히 Dell RecoverPoint for Virtual Machines의 하드코딩된 자격증명 취약점인 CVE-2026-22769는 원격에서 인증 없이 관리자(루트) 권한으로 접근할 수 있어, 공격자 입장에서는 “한 번 들어가면 깊게 퍼질 수 있는” 이상적인 관문이 됩니다.
UNC6201의 전술: RecoverPoint를 ‘백업 시스템’이 아닌 ‘내부 관제탑’으로 바꾸다 (CVE-2026-22769)
RecoverPoint는 VMware 환경에서 백업과 재해 복구를 담당하며, 운영망 깊숙한 곳에서 다양한 시스템과 연결됩니다. UNC6201이 CVE-2026-22769를 악용하면 다음과 같은 체인이 가능해집니다.
- 초기 장악(Initial foothold): 네트워크를 통해 RecoverPoint 어플라이언스에 접근해 하드코딩된 자격증명을 이용, 비인증 상태에서 관리자 권한을 획득합니다.
- 권한 기반 확장(Privilege & Control): 루트 수준 접근은 단순한 설정 변경을 넘어, 기저 운영 체제에 대한 광범위한 제어(서비스 조작, 계정 추가, 로그 변조 등)를 의미합니다.
- 신뢰 경로 악용(Trusted-path abuse): 백업/복구 솔루션은 많은 서버와 관리 네트워크에 “신뢰된” 연결을 갖습니다. 공격자는 이 신뢰를 발판으로 다른 시스템으로 이동하기가 훨씬 쉬워집니다.
즉, CVE-2026-22769는 단일 장비 취약점이 아니라, 기업 내부로 확산되는 ‘권한과 연결성’을 함께 제공하는 취약점으로 작동합니다.
은밀한 지속성: GRIMBOLT·BRICKSTORM로 장기 잠복 기반 구축 (CVE-2026-22769)
UNC6201은 단기적 파괴보다 장기 잠복과 지속성에 강점을 보였습니다. 공개된 정보에 따르면, 이들은 커스텀 백도어인 GRIMBOLT와 BRICKSTORM를 배포해 다음 목표를 달성합니다.
- 지속성 확보(Persistence): 시스템 재부팅 후에도 살아남는 형태로 백도어/서비스를 구성하거나, 관리 계정을 추가해 재진입 경로를 확보합니다.
- 은폐(Defense evasion): 운영체제 레벨 권한을 활용해 로그를 정리하거나 보안 에이전트/모니터링을 우회할 수 있습니다.
- 작전 확장(Operations at scale): 내부 정찰 → 측면 이동 → 추가 페이로드 배포로 이어지는 공격 흐름을 조직적으로 운영합니다.
RecoverPoint 같은 인프라가 장악되면, 공격자는 백업 체계 자체를 발판으로 삼아 관측이 어렵고 차단도 까다로운 위치에서 장기간 활동할 수 있습니다.
측면 이동과 확산: “백업/복구” 연결 구조가 공격 경로가 된다 (CVE-2026-22769)
Mandiant 및 GTIG 관점에서 UNC6201은 측면 이동과 악성코드 배포를 수행해 왔습니다. RecoverPoint의 특성상 다음과 같은 기술적 이유로 측면 이동이 유리해집니다.
- 관리 네트워크 접점: 백업/복구 솔루션은 가상화 관리 영역과 접촉하며, 여러 관리 포트·프로토콜을 통해 통신합니다.
- 고권한 자격 증명 노출 가능성: 운영 과정에서 다양한 시스템 접근 정보가 취급될 수 있어, 침해 시 공격자가 추가 자격 증명을 노릴 여지가 커집니다.
- 서비스 신뢰도: 백업 트래픽과 관리 트래픽은 정상으로 보이기 쉬워, 탐지 관점에서 노이즈에 묻힐 위험이 있습니다.
결과적으로 CVE-2026-22769 악용은 “단일 장비 탈취”에서 끝나지 않고, 내부 전반의 신뢰 관계를 이용해 가상화·백업 생태계 전체를 공격 경로로 전환시키는 데 악용될 수 있습니다.
왜 UNC6201의 움직임이 특히 위협적인가? (CVE-2026-22769)
UNC6201의 위협은 “취약점을 썼다”가 아니라, 침투 지점의 선택과 작전 방식이 정교하다는 데 있습니다.
- 표적의 가치가 높음: RecoverPoint는 핵심 인프라에 가깝고, 장애 대응·복구라는 이유로 접근 범위가 넓습니다.
- 탐지 난이도 상승: 백업/복구 시스템에서 발생하는 활동은 정상 운영과 섞이기 쉽고, 이벤트의 우선순위가 낮게 처리되기도 합니다.
- 장기 거점화: 루트 권한 + 백도어 배포 + 측면 이동은 장기 침투의 전형적 구성요소이며, UNC6201은 이를 꾸준히 수행해 왔습니다.
결국 CVE-2026-22769는 UNC6201 같은 조직에게 “한 번의 접근으로 기업의 심장부까지 이어지는 지름길”을 제공했고, 그들이 보여 준 은밀한 운영 방식은 재해 복구 인프라가 공격자에게 얼마나 매력적인 표적인지 다시 한 번 증명합니다.
기업 네트워크의 심장부가 위태롭다: 공격이 미치는 충격과 결과 (CVE-2026-22769)
복구 및 재해 복구의 핵심 솔루션을 노린 공격은 “데이터 몇 개가 훼손되는 수준”에서 끝나지 않습니다. CVE-2026-22769처럼 하드코딩된 자격증명으로 원격 비인증 공격자가 관리자(루트) 권한을 얻는 경우, 피해는 곧바로 새로운 관리자 계정 생성, 지속적 권한 탈취, 내부망 장악으로 확장됩니다. 특히 RecoverPoint for Virtual Machines는 가상화 환경의 백업/DR 흐름을 쥐고 있기 때문에, 한 번 뚫리면 기업 네트워크의 핵심부가 연쇄적으로 흔들립니다.
루트 권한 탈취가 의미하는 것: “백업 서버가 곧 지휘소가 된다”
CVE-2026-22769의 본질은 단순 취약점이 아니라 기본적으로 ‘열쇠가 내장된 금고’에 가깝습니다. 공격자가 하드코딩된 자격증명을 악용해 RecoverPoint 어플라이언스에 침투하면, 다음이 가능해집니다.
- 기저 운영 체제(OS) 수준 접근: 애플리케이션을 넘어 시스템 전체를 제어할 수 있습니다.
- 임의 코드 실행 및 프로그램 설치: 백도어, 원격 제어 도구, 추가 페이로드 설치가 가능합니다.
- 구성 정보 및 자격증명 수집: 백업/복구 시스템에는 연결 대상(가상화 호스트, 스토리지, 관리 네트워크) 정보가 모여 있어, 내부망 확장에 유리합니다.
즉, DR 솔루션은 “복구를 위한 장치”이지만 공격자에게는 침투 후 장기 체류를 위한 최고의 거점이 됩니다.
파급 효과 1: “새 관리자 계정 생성”으로 보안 통제가 무력화된다
루트 수준 권한을 얻은 공격자는 보안팀이 눈치채기 어려운 방식으로 새로운 관리자 계정을 만들거나 기존 계정 권한을 조정할 수 있습니다. 이 단계가 위험한 이유는 다음과 같습니다.
- 단발성 침입이 아니라 지속 가능한 관리 권한을 확보합니다.
- 계정 기반 접근이 가능해지면, 일부 환경에서는 침해가 정상 관리 활동처럼 보일 수 있습니다.
- 패치나 비밀번호 변경 이후에도 공격자가 다시 들어올 우회 경로(백도어 계정)가 남을 수 있습니다.
결국 “취약점 하나”가 권한 체계 전체의 신뢰를 붕괴시키는 결과로 이어집니다.
파급 효과 2: 측면 이동과 내부 장악이 빨라진다
RecoverPoint는 운영 환경의 깊숙한 곳에서 다양한 시스템과 통신합니다. 따라서 공격자는 이 지점을 발판으로 삼아 측면 이동(lateral movement)을 시도하기 쉽습니다. 실제로 중국 연계 위협 행위자 UNC6201이 이 취약점을 2024년 중반부터 악용하면서, 백도어(예: GRIMBOLT, BRICKSTORM) 배포와 내부 확장을 수행한 정황이 보고되었습니다.
기술적으로는 다음 시나리오가 대표적입니다.
- RecoverPoint 장악(루트 권한 획득)
- 네트워크 설정/연결 정보/관리 경로 파악
- 내부 관리망 또는 가상화 관리 계층으로 이동
- 추가 악성코드 배포 및 권한 상승 반복
- 핵심 시스템에 대한 장기 통제 확보
한마디로, DR 솔루션 침해는 “내부망 확장의 가속 페달”이 됩니다.
파급 효과 3: “복구 체계”가 오히려 랜섬웨어·파괴 공격의 발판이 된다
재해 복구 시스템이 공격자에게 넘어가면, 기업이 마지막으로 의지하는 복구 능력 자체가 공격 대상이 됩니다. 가능한 결과는 다음과 같습니다.
- 백업/스냅샷 체인 훼손: 복구 지점을 무력화해 복구 불가능 상태로 유도
- 데이터 변조·삭제: 운영 데이터뿐 아니라 복구 데이터까지 동시 타격
- 복구 과정 방해: 장애 대응 중에도 공격자가 시스템 설정을 바꿔 혼란을 증폭
이 경우 피해는 “데이터 유출”을 넘어 업무 중단, 복구 실패, 장기적인 신뢰 하락으로 확대되며, 기술·법무·재무 리스크가 동시에 폭발합니다.
결론: CVE-2026-22769는 “한 지점 침해”가 아니라 “복구 기반 붕괴”의 신호다
CVE-2026-22769의 위험성은 CVSS 10이라는 수치보다도, 복구/재해 복구라는 마지막 안전장치가 공격자에게 역이용될 수 있다는 점에 있습니다. 하드코딩된 자격증명 기반의 비인증 원격 침입은 탐지·차단보다 먼저 지속성 확보와 내부 장악으로 이어지기 쉽고, 그 끝은 종종 “복구 불능”이라는 최악의 형태로 나타납니다.
CVE-2026-22769 위기 대응: 즉시 업데이트와 보안 강화 전략
이제 시간을 끌 여유는 없습니다. Dell과 보안 전문 기관들은 어떤 구체적인 방어책을 제안하고 있을까요? 결론부터 말하면 패치(업데이트) 적용이 최우선이며, 그 다음은 “이미 침해됐을 가능성”까지 고려한 탐지·차단·격리 중심의 보안 강화입니다. 아래 조치들은 CVE-2026-22769처럼 네트워크 기반·인증 불필요·루트 권한까지 가능한 취약점에 대응하기 위한 필수 체크리스트입니다.
즉시 해야 할 1순위: Dell 권고 버전으로 업그레이드
- RecoverPoint for Virtual Machines를 6.0.3.1 HF1 이상으로 즉시 업그레이드하세요.
이 취약점은 하드코딩된 자격증명이 핵심이므로, 운영 환경에서 설정을 바꿔 “완화”하기가 어렵고, 패치가 사실상 유일한 근본 해결책입니다. - 업그레이드 전후로 다음을 함께 수행하세요.
- 스냅샷/백업 정책 및 복구 절차 점검(업그레이드 중 장애 대비)
- 관리 콘솔/어플라이언스 재부팅 및 서비스 정상 기동 확인
- 적용 후 버전 검증(자산 목록에 패치 상태 기록)
“패치 전” 임시 방어: 노출면(Attack Surface) 즉시 축소
패치를 당장 못 하는 상황이라면, 그 시간 자체가 공격자에게는 기회가 됩니다. 가능한 한 빠르게 노출면을 줄이세요.
- 인터넷에서 직접 접근 가능한 경로를 즉시 차단
RecoverPoint 관련 관리 인터페이스/어플라이언스가 외부로 열려 있다면 우선 폐쇄가 원칙입니다. - 네트워크 세그먼트 격리 및 접근통제(ACL) 강화
- 관리 네트워크는 별도 VLAN/존으로 분리
- 관리 포트/관리 UI 접근은 점프 서버(또는 VPN) 기반으로 제한
- 접근 허용 IP를 운영 인력의 고정 대역으로 화이트리스트 적용
- 동서 트래픽(lateral movement) 차단을 고려한 마이크로 세그멘테이션 RecoverPoint는 백업/DR 특성상 내부 핵심 인프라와 연결되기 쉬워, 침해 시 측면 이동의 발판이 됩니다. 방화벽 정책으로 “필요한 통신만” 남기고 나머지는 차단하세요.
