CVE 점수 8.8점의 광범위한 7-Zip 취약점 발생 — 코드 실행 가능, 수억 대의 기기가 잠재적 위험에 노출

최근 심각하고 광범위한 보안 취약점의 발생이 끝이 보이지 않는 것 같습니다. 언제나 인기 있는 오픈 소스 아카이브 처리 유틸리티인 7-Zip이 현재 아카이브(archive)를 여는 과정에서 발견된 __8.8점 등급의 CVE 취약점__으로 인해 주목받고 있습니다. 만약 사용자가 최소 16GB의 RAM을 가진 기기에서 함정이 설치된 정교하게 제작된 아카이브(.7z, .zip, .rar 등)를 단순히 열기만 해도 악성 코드가 실행됩니다. 아카이브를 압축 해제할 필요는 없으며, 단지 여는 것만으로도 충분합니다. 저희는 모든 사용자가 4월 말에 출시된 최신 버전인 26.01로 즉시 업데이트할 것을 권장합니다. 이전의 모든 버전은 취약합니다.

7-Zip이 실제로 얼마나 널리 사용되는지를 고려하면

하지만 여기서 끝이 아닙니다. 7z의 개방적인 특성으로 인해 그 기본 라이브러리들이 수많은 제3자 소프트웨어(third-party software)에 포함되어 있습니다. 잠재적인 공격 대상에는 안티바이러스 스캐너(anti-virus scanners), 백업 및 자동화 도구, 로그 분석 소프트웨어, 자동 스캐닝을 이용한 악성코드 분석 도구, 그리고 심지어 많은 파일 관리자까지 포함됩니다.

실제로 앞서 언급한 소프트웨어들은 오염된 압축 파일을 처리할 때 사용자의 개입을 필요로 하지 않으며, 상황은 그중 상당수가 높은 권한(elevated permissions)으로 실행된다는 점에서 더욱 악화됩니다. 모든 상황을 고려할 때, 거의 모든 컴퓨터와 서버가 드라이브 바이 공격(drive-by attack)과 다름없는 이 취약점에 노출된, 공격 가능한 7-Zip 바이너리나 코드를 보유하고 있다고 추측하는 것이 합리적입니다.

저희가 자체적으로 실시한 몇 가지 간략한 테스트 결과, Ubuntu 24, Ubuntu 26, RHEL 8 모두 취약한 버전을 포함하고 있는 것으로 나타났습니다. 설상가상으로, 많은 OEM 시스템은 7-Zip이 훌륭하고 개방적이며 무료라는 이유로 기본적으로 포함하고 있습니다.

Bruno Ferreira는 Tom's Hardware의 기고가입니다. 그는 개발자로서의 경력과 더불어 PC 하드웨어 및 다양한 잡다한 분야에서 수십 년의 경험을 보유하고 있습니다. 그는 세부 사항에 집착하며 자신이 좋아하는 주제에 대해 장황하게 늘어놓는 경향이 있습니다. 그렇지 않을 때는 보통 게임을 즐기거나, 라이브 음악 공연 및 페스티벌에 참여하곤 합니다.