어도비 콜드퓨전 최고위험 패치, 공개 2시간 만에 실공격 확인

어도비 콜드퓨전 2026년 7월 긴급 패치의 CVSS 10.0 결함 개수, 실공격까지 걸린 시간, 대응 버전을 정리한 요약 카드

“실공격 사례 없음”이라던 어도비의 발표는 딱 2시간 만에 뒤집혔습니다. 지난 7월 1일 어도비가 콜드퓨전(ColdFusion)과 캠페인 클래식(Campaign Classic)에서 ‘최고 위험도(CVSS 10.0)’ 결함 7건을 한꺼번에 패치했는데, 그중 하나가 패치 공개 직후 실제 공격에 쓰이는 게 전 세계 허니팟 네트워크에 포착됐습니다. 콜드퓨전을 웹사이트 서버로 쓰고 있다면 지금 바로 확인이 필요합니다.

콜드퓨전 패치, 무슨 일이 있었나

어도비는 7월 1일 정기 보안 공지를 통해 콜드퓨전 2023/2025 버전과 캠페인 클래식에서 총 9개의 취약점을 공개했습니다.

이 중 7개가 10점 만점에 10점, 즉 CVSS 최고 등급을 받았습니다. 파일 업로드 검증 누락, 입력값 검증 미흡, 경로 순회(path traversal) 등 유형은 다양하지만 결과는 하나같이 “공격자가 서버에서 임의 코드를 실행할 수 있다”는 것이었습니다.

콜드퓨전 쪽 결함은 2023 Update 21과 2025 Update 10으로, 캠페인 클래식의 결함(CVE-2026-48286)은 ACC v7 7.4.3 build 9397로 각각 고쳐졌습니다. 패치 공개 당시 어도비는 “확인된 실공격 사례는 없다”고 밝혔습니다. 하지만 이 발표는 오래가지 못했습니다.

콜드퓨전 결함, 왜 ‘며칠’이 아니라 ‘몇 시간’인가

경로 순회 결함인 CVE-2026-48282는 공개 후 약 2시간 만에 실제 공격 시도가 잡혔습니다. 보안 연구자 라이언 듀허스트에 따르면, 공격자는 인도 소재 IP(103.207.14.220)에서 ‘C:\Windows\win.ini’ 파일을 읽으려는 경로 순회 페이로드를 전송했습니다.

이 결함은 파일 업로드 기능을 켜둔 서버에서만 발동합니다. 문제는 업로드 기능이 켜져 있으면 인증 없이도 접근 가능하고, 업로드된 파일이 시스템 최고 권한(NT AUTHORITY\SYSTEM)으로 저장된다는 점입니다.

이 속도는 우연이 아닙니다. 어도비 최고보안책임자(CSO) 아안찰 굽타는 “공개와 실공격 사이의 시차가 AI 기반 취약점 발굴 때문에 며칠에서 몇 시간 단위로 줄어들고 있다”고 밝혔습니다. 방어자가 AI로 취약점을 더 빨리 찾는 만큼, 공격자도 같은 도구로 패치를 역분석해 공격 코드를 그만큼 빨리 만들어낸다는 뜻입니다. 어도비는 이런 흐름에 대응해 7월 14일부터 보안 공지 주기를 월 1회에서 월 2회로 늘리기로 했습니다.

셰어포인트 사건과 비교하면 콜드퓨전은 뭐가 다른가

앞서 다룬 셰어포인트 사건은 패치가 나온 지 두 달 뒤에야 실공격이 확인된 경우였습니다. 이번 콜드퓨전 건은 정반대입니다. 패치 배포와 동시에 “아직 안전하다”고 여길 시간 자체가 사실상 없었던 셈입니다.

패치를 받고도 “다음 유지보수 창에 적용하자”고 미루는 관행이, 대응 여유가 몇 시간으로 줄어든 상황에서는 곧바로 침해로 이어질 수 있다는 걸 콜드퓨전 사례가 보여줍니다.

콜드퓨전 운영 중이라면 확인할 것

  • IT 또는 개발 부서에 콜드퓨전 서버가 2023 Update 21 또는 2025 Update 10으로 업데이트됐는지 확인하세요.
  • 캠페인 클래식을 온프레미스로 운영 중이라면 ACC v7 7.4.3 build 9397 적용 여부도 함께 점검하세요. (어도비가 직접 운영하는 클라우드 버전은 이미 조치 완료.)
  • 파일 업로드 기능을 사용하지 않는다면 지금 바로 꺼두는 것도 임시 방어책이 됩니다.
  • 서버 로그에서 경로 순회 패턴(연속된 “..\” 문자열 등)이나 알 수 없는 파일 업로드 흔적이 있는지 확인하세요.
  • 패치가 늦어졌다면 외부 접근을 임시 차단하고 보안 담당자와 침해 여부부터 점검하세요.

콜드퓨전 사건이 남기는 신호

이번 사건에서 눈여겨볼 대목은 결함 개수(7개 최고 위험도)보다 속도입니다. 어도비가 “실공격 없음”이라고 발표한 지 얼마 되지도 않아 상황이 뒤집혔다는 건, 벤더의 최초 발표조차 그 시점의 스냅샷일 뿐이라는 걸 보여줍니다.

AI가 패치 분석과 공격 코드 제작 양쪽 속도를 다 끌어올리는 지금, “패치가 나왔으니 여유 있게 적용하자”는 판단 자체가 리스크가 되고 있습니다. 서버 자산을 운영한다면 패치 공지가 뜨는 순간을 곧 공격 시작 시점으로 여기고 움직이는 편이 안전합니다.

출처

댓글 남기기