스프링 부트(Spring Boot)를 사용하는 애플리케이션에서 두 달 전 발견된 취약점을 여전히 해결하지 않은 곳이 많아 보안 우려가 커지고 있다. 최근까지도 이 취약점을 노린 공격 시도가 계속 포착되고 있다.
스프링 부트는 개발자가 자바 기반 프레임워크를 활용해 마이크로서비스와 웹 애플리케이션을 개발할 수 있도록 돕는 도구다. 개발자 교육 플랫폼 아미고스코드(Amigoscode)는 2025년 4월 보고서에서 “스프링 부트는 여전히 자바 개발자 사이에서 가장 강력하고 널리 사용되는 프레임워크”라고 평가했다.
이 취약점은 2025년 5월, 시그널(Signal)과 유사한 보안 메시징 기능에 기업용 모바일 메시지 캡처 및 보관 기능을 결합한 ‘텔레메시지 SGNL(TeleMessage SGNL)’에서 처음 발견돼 보고됐다.
그레이노이즈(GreyNoise) 연구팀에 따르면 지난주에만 최소 11개의 IP 주소가 해당 취약점(CVE-2025-48927)을 포함한 애플리케이션을 악용하려 시도한 것으로 나타났다. 특히 18일 오후, 관련 경고가 언론에 보도된 직후 취약점을 스캔하는 IP 수가 1,000개 이상으로 급증했다.
그레이노이즈에 따르면, 지난 90일 동안 2,000개 이상의 IP 주소가 스프링 부트 액추에이터(Actuator) 엔드포인트를 스캔한 것으로 집계됐다. 이 중 1,582개 IP는 주로 인터넷에 노출된 스프링 부트 환경을 탐지하기 위해 사용되는 /health 엔드포인트를 집중적으로 노렸다.
텔레메시지 SGNL을 포함한 취약한 애플리케이션 구현이 발견될 경우, 힙 메모리에 저장된 민감한 데이터, 예를 들어 평문 사용자 이름과 비밀번호까지 탈취될 수 있다. 이 취약점은 미국 CISA(Cybersecurity and Infrastructure Security Agency)의 KEV(Known Exploited Vulnerabilities) 목록에 새롭게 등재될 만큼 심각한 수준으로 평가된다.
현재 얼마나 많은 스프링 부트 관련 엔드포인트가 위험에 노출돼 있는지는 명확하지 않다. 그러나 그레이노이즈 연구팀은 최근 조사에서 여전히 다수의 기기가 외부에 열려 있고 취약점에 노출돼 있는 상태임을 확인했다.
스프링 부트 취약점 악용 방식
그레이노이즈는 텔레메시지 SGNL에서 발견된 문제의 원인이 스프링 부트 액추에이터의 레거시 구성 방식에 있다고 지적했다. 구체적으로, 진단용 /heapdump 엔드포인트가 인터넷에 인증 없이 공개돼 있어 취약점이 발생했다는 설명이다.
스프링 부트를 사용하는 애플리케이션에서 이 취약점을 완화하는 방법은 비교적 간단하다. /info와 /health를 제외한 모든 스프링 부트 엔드포인트에 대한 접근을 차단하면 된다.
텔레메시지 SGNL은 미국의 기업 스마시(Smarsh)가 판매하는 솔루션으로, 이 회사는 아카이빙, 커뮤니케이션 컴플라이언스, 정보 거버넌스, 데이터 마이그레이션 등 다양한 솔루션을 제공하고 있다. 다만, 현재 스마시가 텔레메시지 SGNL을 어느 정도 적극적으로 마케팅하고 있는지는 명확하지 않다. 애플리케이션 전용 홈페이지는 존재하지만, 제품에 대한 추가 정보를 얻을 수 있는 링크나 안내는 제공되지 않고 있다.
필자의 질의에 대해 스마시 대변인은 CVE-2025-48927 취약점이 5월 초 텔레메시지 환경에서 완전히 해결됐다고 밝혔다. 이 조치는 외부 사이버보안 파트너를 통해 독립적으로 검증됐으며, 클라우드 네이티브 SaaS 플랫폼 특성상 모든 수정 사항이 중앙에서 적용돼 고객 측에서 별도의 조치가 필요하지 않았다고 설명했다. 대변인은 또 이후 해당 취약점을 악용하려는 시도는 모두 실패했다고 전했다.
사이버 인시던트 대응 업체 사이퍼(Cypher)의 COO 에드 두브로브스키는 텔레메시지 SGNL의 사용자 기반은 시그널보다 훨씬 작아 이 취약점의 잠재적 영향력도 상대적으로 제한적이라고 분석했다. 다만 이 취약점이 애플리케이션 힙 메모리에서 최대 150MB 분량의 데이터를 원격 복사할 수 있게 만든다며, 복사된 데이터에 문자 메시지가 포함될 경우 “심각한 우려를 초래할 수 있다”라고 지적했다.
클론 앱 주의보
사이퍼의 두브로브스키는 “CISO나 CSO 관점에서 특별한 이유가 없다면 클론 앱 사용은 지양해야 한다. 사용자 수가 적은 만큼 개발자의 관리·점검이 충분히 이뤄지지 않아 제로데이 취약점이나 기타 보안 문제의 위험이 높아지기 때문이다”라고 말했다.
또한 “사용자에게 로그인·비밀번호 재사용을 피하고, 문자 메시지 앱에서는 민감하지 않은 정보만 주고받도록 주의시킬 필요가 있다”라고 덧붙였다.
캐나다의 인시던트 대응 업체 디지털 디펜스(Digital Defence)의 대표 로버트 베그스는 텔레메시지 SGNL 사용자가 주의해야 할 또 다른 보안 문제 역시 지난 5월 보고됐다고 언급했다.
미국 국립표준기술연구소(National Institute for Standards and Technology, NIST)에 따르면 이 애플리케이션은 비밀번호 해시에 MD5 알고리즘을 사용하고 있으며, 이는 적은 연산 자원으로도 레인보우 테이블 등 다양한 공격이 가능하다는 점에서 위험하다고 지적했다. 해당 취약점은 CVE-2025-48931로 등록돼 있다.
베그스에 따르면 MD5는 오래된 암호화 방식으로, 보안성이 취약한 것으로 잘 알려져 있다. 또한 베그스는 NIST 보고서를 인용해, MD5로 해시된 비밀번호가 텔레메시지 SGNL에서 인증 자격 증명으로 그대로 허용될 수 있다는 점도 문제라고 지적했다. 이 취약점은 CVE-2025-48925로 등재돼 있다.
베그스는 “어떤 면에서 보면 텔레메시지 SGNL은 시그널의 엔드투엔드 보안 신뢰성을 등에 업고, 인터페이스의 디자인과 사용감을 모방해왔다. 강력한 보안성을 갖추고 있는 기존 제품과, 비슷해 보이지만 제3자가 만든 보안이 취약한 클론 제품을 어떻게 구분할 수 있겠는가?”라고 반문했다.
베그스는 이번 취약점이 잠재적인 위험성을 드러낸다고 지적했다. 예를 들어 적대 국가나 조직화된 해커 그룹이 만든 트로이 목마형 애플리케이션이 보안 요건을 준수하는 것처럼 위장한 뒤, 백엔드에서 암호화되지 않은 데이터를 은밀히 수집할 수 있다는 것이다.
이어 “정부, 금융기관, 지식재산권 보호가 필요한 기업은 이런 유형의 공격에 특히 취약할 수 있다. 수집된 데이터는 결국 궁극적인 내부자 위협으로 악용될 수 있다”라고 경고했다.
dl-itworldkorea@foundryco.com
Howard Solomon editor@itworld.co.kr
저작권자 Foundry & ITWorld, 무단 전재 및 재배포 금지
이 기사의 카테고리는 언론사의 분류를 따릅니다.